Probleme avast et Win32:Vundo@dll [Trj]

Résolu
Seilenos -  
papyber Messages postés 6430 Statut Contributeur sécurité -
Bonjour,
J'ai un probleme avec le trojan Win32:Vundo@dll [Trj] qu'avast ne parvient pas à supprimer.

J'ai installé Hijackthis, comme vu sur les autres sujets en rapport. Je vous mets le rapport, et remercie d'avance d'avance quiconque pourra m'aider à régler ce probleme...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:12:13, on 27/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\apps\ABoard\ABoard.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\apps\ABoard\AOSD.exe
C:\Program Files\Razer\DeathAdder\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Razer\DeathAdder\razerofa.exe
C:\lotus\register\remind32.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O2 - BHO: (no name) - {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} - C:\WINDOWS\system32\xxYrRKCu.dll
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DW4] "C:\Program Files\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O20 - Winlogon Notify: xxYrRKCu - C:\WINDOWS\SYSTEM32\xxYrRKCu.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8203 bytes
Configuration: Windows XP
Firefox 2.0.0.14

12 réponses

  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut et voila un lien ou tu trouvera 1 anti vundo tu aura les 2 variande et bon courage j'espere que sa va t'aider
    0
  2. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    pas mal infecté!
    Télécharge sur ton Bureau RHosts (Merci à S!ri)
    http://siri.urz.free.fr/Softs/RHosts.exe
    Double-clique sur Rhosts.exe et clique sur "restaurer".

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau
    http://www.atribune.org/ccount/click.php?id=4

    Le PC va être redémarré lors du passage de VundoFix, je te conseille donc de fermer et enregistrer tout ce que tu as en cours!

    Fais un double clic sur VundoFix.exe afin de le lancer
    Clique sur le bouton Scan for Vundo
    Lorsque l'analyse de ton PC est terminée, clique sur le bouton Fix Vundo
    Une invite te demandera si tu veux supprimer les fichiers, clique sur YES
    Après avoir cliqué sur Yes, le Bureau disparaîtra un moment lors de la suppression des fichiers
    Tu verras une invite qui t'annonce que ton PC va redémarrer
    Clique sur OK

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage.
    Coche les fichiers à supprimer qui te sont proposés
    Clique sur Fix Vundo et laisse Vundofix redémarrer le PC
    Renouvelle l'opération si demandé.

    Copie/colle le contenu du rapport situé dans C:\VundoFix.txt (si XP est installé sur C:\ dans le cas contraire, il sera à la racine de ta partition système)

    Télécharge VirtumundoBeGone sur ton Bureau.

    http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

    * double-clic sur VirtumundoBeGone.exe

    * Suis les instructions à l'écran

    * Quand le Scan est terminé, enregistre le rapport.

    * Copie/Colle le ici

    Télécharge MalwareByte
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    Installe-le
    Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
    Sélectionne ton (tes) disques durs.
    Lancer l'examen
    Clique sur Enregistrer le rapport et choisis ton Bureau

    ainsi qu'un nouveau rapport Hijack This dans ta prochaine réponse
    0
  3. Seilenos
     
    Bien, tout d'abord merci pour les réponses rapides, voilà où j'en suis :

    J'ai essayé de suivre les instructions dans l'ordre, mais j'ai lancé deux fois Malwarebytes.

    - Rhosts effectué (ça ne prend même pas une seconde, normal ?)

    - Vundofix ne trouve rien du tout... (essayé 3 fois)

    - J'ai ensuite lancé malwarebytes une première fois. Il trouve une vingtaine d'objet, j'ai tout mis en quarantaine, sauf ce qui concernait mon trojan, pour laisser le soin à Virtumundobegone de s'en charger (désolé, oublié de sauvegarder ce rapport...)

    - Virtumundobegone le trouve et redémarre mon ordi (rapport en dessous). Je le relance plusieurs fois, il ne trouve plus rien.

    - Je relance malwarebytes, qui bizarrement le retrouve. Cette fois, je le supprime.

    Voici les rapports :

    -----------

    VBG

    [05/27/2008, 15:57:28] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
    [05/27/2008, 15:57:37] - Detected System Information:
    [05/27/2008, 15:57:37] - Windows Version: 5.1.2600, Service Pack 2
    [05/27/2008, 15:57:37] - Current Username: Nicolas Prenant (Admin)
    [05/27/2008, 15:57:37] - Windows is in NORMAL mode.
    [05/27/2008, 15:57:37] - Searching for Browser Helper Objects:
    [05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 15:57:37] - No filename found. Continuing.
    [05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} ()
    [05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 15:57:37] - Checking for HKLM\...\Winlogon\Notify\xxYrRKCu
    [05/27/2008, 15:57:37] - Found: HKLM\...\Winlogon\Notify\xxYrRKCu - This is probably Virtumundo.
    [05/27/2008, 15:57:37] - Assigning {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} MSEvents Object
    [05/27/2008, 15:57:37] - BHO list has been changed! Starting over...
    [05/27/2008, 15:57:37] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 15:57:37] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 15:57:37] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 15:57:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 15:57:37] - No filename found. Continuing.
    [05/27/2008, 15:57:37] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 15:57:37] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 15:57:37] - BHO 6: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} (MSEvents Object)
    [05/27/2008, 15:57:38] - ALERT: Found MSEvents Object!
    [05/27/2008, 15:57:38] - Finished Searching Browser Helper Objects
    [05/27/2008, 15:57:38] - *** Detected MSEvents Object
    [05/27/2008, 15:57:38] - Trying to remove MSEvents Object...
    [05/27/2008, 15:57:39] - Terminating Process: IEXPLORE.EXE
    [05/27/2008, 15:57:39] - Terminating Process: RUNDLL32.EXE
    [05/27/2008, 15:57:39] - Disabling Automatic Shell Restart
    [05/27/2008, 15:57:39] - Terminating Process: EXPLORER.EXE
    [05/27/2008, 15:57:39] - Suspending the NT Session Manager System Service
    [05/27/2008, 15:57:40] - Terminating Windows NT Logon/Logoff Manager
    [05/27/2008, 15:57:40] - Re-enabling Automatic Shell Restart
    [05/27/2008, 15:57:40] - File to disable: C:\WINDOWS\system32\xxYrRKCu.dll
    [05/27/2008, 15:57:40] - Renaming C:\WINDOWS\system32\xxYrRKCu.dll -> C:\WINDOWS\system32\xxYrRKCu.dll.vir
    [05/27/2008, 15:57:40] - File successfully renamed!
    [05/27/2008, 15:57:40] - Removing HKLM\...\Browser Helper Objects\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
    [05/27/2008, 15:57:40] - Removing HKCR\CLSID\{F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
    [05/27/2008, 15:57:40] - Adding Kill Bit for ActiveX for GUID: {F9DF827A-8FA7-48A3-B268-CA4DB563EA40}
    [05/27/2008, 15:57:40] - Deleting ATLEvents/MSEvents Registry entries
    [05/27/2008, 15:57:40] - Removing HKLM\...\Winlogon\Notify\xxYrRKCu
    [05/27/2008, 15:57:40] - Searching for Browser Helper Objects:
    [05/27/2008, 15:57:40] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 15:57:40] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 15:57:40] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 15:57:40] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 15:57:40] - No filename found. Continuing.
    [05/27/2008, 15:57:40] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 15:57:40] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 15:57:40] - Finished Searching Browser Helper Objects
    [05/27/2008, 15:57:40] - Finishing up...
    [05/27/2008, 15:57:40] - A restart is needed.
    [05/27/2008, 15:57:53] - Attempting to Restart via STOP error (Blue Screen!)

    [05/27/2008, 16:06:45] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
    [05/27/2008, 16:06:47] - Detected System Information:
    [05/27/2008, 16:06:47] - Windows Version: 5.1.2600, Service Pack 2
    [05/27/2008, 16:06:47] - Current Username: Nicolas Prenant (Admin)
    [05/27/2008, 16:06:47] - Windows is in NORMAL mode.
    [05/27/2008, 16:06:47] - Searching for Browser Helper Objects:
    [05/27/2008, 16:06:47] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 16:06:47] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 16:06:47] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 16:06:47] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 16:06:47] - No filename found. Continuing.
    [05/27/2008, 16:06:47] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 16:06:47] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 16:06:47] - Finished Searching Browser Helper Objects
    [05/27/2008, 16:06:47] - Finishing up...
    [05/27/2008, 16:06:47] - Nothing found! Exiting...

    [05/27/2008, 16:07:01] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
    [05/27/2008, 16:07:02] - Detected System Information:
    [05/27/2008, 16:07:02] - Windows Version: 5.1.2600, Service Pack 2
    [05/27/2008, 16:07:02] - Current Username: Nicolas Prenant (Admin)
    [05/27/2008, 16:07:02] - Windows is in NORMAL mode.
    [05/27/2008, 16:07:02] - Searching for Browser Helper Objects:
    [05/27/2008, 16:07:02] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 16:07:02] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 16:07:02] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 16:07:02] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 16:07:02] - No filename found. Continuing.
    [05/27/2008, 16:07:02] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 16:07:02] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 16:07:02] - Finished Searching Browser Helper Objects
    [05/27/2008, 16:07:02] - Finishing up...
    [05/27/2008, 16:07:02] - Nothing found! Exiting...

    [05/27/2008, 16:07:10] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe" )
    [05/27/2008, 16:07:15] - Detected System Information:
    [05/27/2008, 16:07:15] - Windows Version: 5.1.2600, Service Pack 2
    [05/27/2008, 16:07:15] - Current Username: Nicolas Prenant (Admin)
    [05/27/2008, 16:07:15] - Windows is in NORMAL mode.
    [05/27/2008, 16:07:15] - Searching for Browser Helper Objects:
    [05/27/2008, 16:07:15] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
    [05/27/2008, 16:07:15] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
    [05/27/2008, 16:07:15] - BHO 3: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
    [05/27/2008, 16:07:15] - WARNING: BHO has no default name. Checking for Winlogon reference.
    [05/27/2008, 16:07:15] - No filename found. Continuing.
    [05/27/2008, 16:07:15] - BHO 4: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
    [05/27/2008, 16:07:15] - BHO 5: {F4D76F01-7896-458a-890F-E1F05C46069F} (Ask Toolbar BHO)
    [05/27/2008, 16:07:15] - Finished Searching Browser Helper Objects
    [05/27/2008, 16:07:15] - Finishing up...
    [05/27/2008, 16:07:15] - Nothing found! Exiting...

    ----------------

    (Rapport avant suppression)

    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 789

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 146391
    Temps écoulé: 36 minute(s), 45 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\8FB7E0D9\rasesnet[1].exe (Trojan.Vundo) -> No action taken.
    C:\Documents and Settings\Nicolas Prenant\Local Settings\Temporary Internet Files\Content.IE5\UL6D416B\wavvsnet[1].exe (Trojan.Downloader) -> No action taken.
    C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP154\A0022437.dll (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\xxYrRKCu.dll.vir (Trojan.Vundo) -> No action taken.
    C:\WINDOWS\system32\ssqPfEvv.dll (Trojan.Vundo) -> No action taken.

    ---------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:51:09, on 27/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\apps\ABoard\ABoard.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\apps\ABoard\AOSD.exe
    C:\Program Files\Razer\DeathAdder\razerhid.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\lotus\register\remind32.exe
    C:\Program Files\Razer\DeathAdder\razerofa.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tele2.fr/internet/portail/go/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
    O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
    O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
    O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
    O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O15 - Trusted Zone: *.amaena.com
    O15 - Trusted Zone: *.avsystemcare.com
    O15 - Trusted Zone: *.gomyhit.com
    O15 - Trusted Zone: *.imageservr.com
    O15 - Trusted Zone: *.imagesrvr.com
    O15 - Trusted Zone: *.onerateld.com
    O15 - Trusted Zone: *.safetydownload.com
    O15 - Trusted Zone: *.storageguardsoft.com
    O15 - Trusted Zone: *.trustedantivirus.com
    O15 - Trusted Zone: *.virusschlacht.com
    O15 - Trusted Zone: *.amaena.com (HKLM)
    O15 - Trusted Zone: *.avsystemcare.com (HKLM)
    O15 - Trusted Zone: *.gomyhit.com (HKLM)
    O15 - Trusted Zone: *.imageservr.com (HKLM)
    O15 - Trusted Zone: *.imagesrvr.com (HKLM)
    O15 - Trusted Zone: *.onerateld.com (HKLM)
    O15 - Trusted Zone: *.safetydownload.com (HKLM)
    O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
    O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
    O15 - Trusted Zone: *.virusschlacht.com (HKLM)
    O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Rhost n'a pas fonctionné...
    Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    un tutoriel pour l'utiliser
    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    Double-clique sur le fichier "SmitFraudFix.exe" (SmitFraudFix) et choisis l'option 1, il va lister tous les éléments nuisibles dans un rapport : poste-le
    Le rapport se trouve à la racine du disque système C:\rapport.txt

    process.exe est détecté par certains antivirus comme étant potentiellement dangereux. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.

    Double clique sur SmitfraudFix.exe
    Sélectionne 2 et clique sur Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
    A la question: Voulez-vous nettoyer le registre ? Réponds O (oui) et clique sur Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
    L'outil déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? Réponds O (oui) et clique Entrée pour remplacer le fichier corrompu.
    Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
    Poste ce rapport
    ainsi qu'un rapport hijack this
    0
    1. Seilenos
       
      Merci.

      Voilà les deux rapports, suivis du rapport hijackthis, est-ce que ça semble correct ? D'autres choses à faire, de mon côté ? :


      -------

      SmitFraudFix v2.323

      Rapport fait à 17:04:23,75, 27/05/2008
      Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Apps\Powercinema\PCMService.exe
      C:\apps\ABoard\ABoard.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\apps\ABoard\AOSD.exe
      C:\Program Files\Razer\DeathAdder\razerhid.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\lotus\register\remind32.exe
      C:\Program Files\Razer\DeathAdder\razerofa.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\slserv.exe
      C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\lotus\wordpro\wordpro.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Nicolas Prenant\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\NICOLA~1\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
      "Source"="About:Home"
      "SubscribedURL"="About:Home"
      "FriendlyName"="Ma page d'accueil"


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Rustock



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.254

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin



      ----------------------------


      SmitFraudFix v2.323

      Rapport fait à 17:05:52,76, 27/05/2008
      Executé à partir de C:\Documents and Settings\Nicolas Prenant\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll

      »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      127.0.0.1 localhost

      »»»»»»»»»»»»»»»»»»»»»»»» VACFix

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

      S!Ri's WS2Fix: LSP not Found.


      »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

      GenericRenosFix by S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.254

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{4E8B04DD-6040-4AE7-9E70-EEB486277AA9}: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


      »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

      Nettoyage terminé.

      »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin



      ---------




      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:13:20, on 27/05/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Apps\Powercinema\PCMService.exe
      C:\apps\ABoard\ABoard.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\apps\ABoard\AOSD.exe
      C:\Program Files\Razer\DeathAdder\razerhid.exe
      C:\WINDOWS\system32\RUNDLL32.EXE
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
      C:\lotus\register\remind32.exe
      C:\Program Files\Razer\DeathAdder\razerofa.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\slserv.exe
      C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Windows Live\Messenger\usnsvc.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/4f60eedf1156c8068525695b005ca288/1168d30686f6fdb080256fe3003757be?OpenDocument
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
      O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
      O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
      O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe
      O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: Enregistrement de Lotus SmartSuite version 9.lnk = C:\lotus\register\remind32.exe
      O4 - Startup: Lotus QuickStart.lnk = C:\lotus\wordpro\ltsstart.exe
      O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\microsoft office\Office10\OSA.EXE
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
      O15 - Trusted Zone: *.amaena.com
      O15 - Trusted Zone: *.avsystemcare.com
      O15 - Trusted Zone: *.gomyhit.com
      O15 - Trusted Zone: *.imageservr.com
      O15 - Trusted Zone: *.imagesrvr.com
      O15 - Trusted Zone: *.onerateld.com
      O15 - Trusted Zone: *.safetydownload.com
      O15 - Trusted Zone: *.storageguardsoft.com
      O15 - Trusted Zone: *.trustedantivirus.com
      O15 - Trusted Zone: *.virusschlacht.com
      O15 - Trusted Zone: *.amaena.com (HKLM)
      O15 - Trusted Zone: *.avsystemcare.com (HKLM)
      O15 - Trusted Zone: *.gomyhit.com (HKLM)
      O15 - Trusted Zone: *.imageservr.com (HKLM)
      O15 - Trusted Zone: *.imagesrvr.com (HKLM)
      O15 - Trusted Zone: *.onerateld.com (HKLM)
      O15 - Trusted Zone: *.safetydownload.com (HKLM)
      O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
      O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
      O15 - Trusted Zone: *.virusschlacht.com (HKLM)
      O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: MysqlInventime - Unknown owner - c:\mysql\bin\mysqld-nt.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
      O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      0
  6. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    lance hijack this pour un scan et coche ces lignes
    O15 - Trusted Zone: *.amaena.com
    O15 - Trusted Zone: *.avsystemcare.com
    O15 - Trusted Zone: *.gomyhit.com
    O15 - Trusted Zone: *.imageservr.com
    O15 - Trusted Zone: *.imagesrvr.com
    O15 - Trusted Zone: *.onerateld.com
    O15 - Trusted Zone: *.safetydownload.com
    O15 - Trusted Zone: *.storageguardsoft.com
    O15 - Trusted Zone: *.trustedantivirus.com
    O15 - Trusted Zone: *.virusschlacht.com
    O15 - Trusted Zone: *.amaena.com (HKLM)
    O15 - Trusted Zone: *.avsystemcare.com (HKLM)
    O15 - Trusted Zone: *.gomyhit.com (HKLM)
    O15 - Trusted Zone: *.imageservr.com (HKLM)
    O15 - Trusted Zone: *.imagesrvr.com (HKLM)
    O15 - Trusted Zone: *.onerateld.com (HKLM)
    O15 - Trusted Zone: *.safetydownload.com (HKLM)
    O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
    O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
    O15 - Trusted Zone: *.virusschlacht.com (HKLM)
    ferme toutes tes applications y compris internet et clique sur fix checked

    Télécharge ComboFix.exe (par sUBs) sur ton Bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Tutoriel officiel de ComboFix, afin de l’utiliser correctement
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Désactive ton antivirus, antispyware, et Spybot-S&D (résident) durant l'utilisation de ComboFix. Merci. Tu le réactiveras ensuite, en fin de désinfection.
    Voir ici comment désactiver tes protections
    https://forum.pcastuces.com/default.asp
    Double clique sur ComboFix.exe (ComboFix)
    Tape 1 puis tape sur Entrée
    A noter: une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
    Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
    A la fin de l’analyse, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse
    Si le rapport n'apparaît pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)
    0
  7. Seilenos
     
    Voilà, et encore merci pour les réponses particulièrement rapides. Le log combofix (après opération effectuée sur hijackthis) :

    ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 17:29:18.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.705 [GMT 2:00]
    Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\winhelp.ini

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-27 17:04 . 2008-05-27 17:06 3,020 --a------ C:\WINDOWS\system32\tmp.reg
    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-05-27 14:38 . 2008-05-27 14:38 <REP> d-------- C:\VundoFix Backups
    2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
    2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
    2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
    2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
    2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
    2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
    2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
    2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
    2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
    2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
    2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
    2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
    2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
    2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
    2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
    2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
    2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
    2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
    2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\AskPBar
    2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
    2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
    2008-05-22 02:22 768 --sha-w C:\hjejovma.sys
    2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
    2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
    2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
    2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
    2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
    2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
    2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
    2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
    2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
    2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
    2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
    2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
    2008-03-31 21:25 831,488 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
    2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
    2008-03-31 21:25 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
    2008-03-31 21:25 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
    2008-03-31 21:25 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
    2008-03-31 21:25 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
    2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
    2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
    2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
    2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
    2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
    2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
    2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
    2008-03-21 20:30 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
    2008-03-21 20:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
    2008-03-21 20:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
    2008-03-21 20:30 129,784 ------w C:\WINDOWS\system32\pxafs.dll
    2008-03-21 20:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
    2008-03-21 20:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
    2008-03-21 20:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
    2008-03-21 20:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
    2008-03-21 20:28 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
    2008-03-21 20:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
    2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
    2008-03-21 20:28 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
    2008-03-21 20:28 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
    2008-03-21 20:28 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
    2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
    2008-03-20 08:09 1,845,376 ------w C:\WINDOWS\system32\dllcache\win32k.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
    "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
    "WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
    "DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
    "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]

    C:\Documents and Settings\Nicolas Prenant\Menu D‚marrer\Programmes\D‚marrage\
    Enregistrement de Lotus SmartSuite version 9.lnk - C:\lotus\register\remind32.exe [1998-05-27 12:37:42 67584]
    Lotus QuickStart.lnk - C:\lotus\wordpro\ltsstart.exe [1997-05-14 02:23:00 25600]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.exe.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-16 22:51:48 108544]
    Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
    Microsoft Office.lnk - C:\Program Files\microsoft office\Office10\OSA.EXE [2001-02-13 10:01:04 83360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\APPS\\Inventime\\my.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
    "C:\\Program Files\\Soulseek\\slsk.exe"=
    "C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
    "C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
    "C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
    "C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
    "C:\\WINDOWS\\system32\\javaw.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
    "C:\\WINDOWS\\system32\\dplaysvr.exe"=
    "C:\\Program Files\\FileZilla\\filezilla.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\SecondLife\\SLVoice.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "9725:TCP"= 9725:TCP:eMule_TCP
    "11307:UDP"= 11307:UDP:eMule_UDP
    "4662:TCP"= 4662:TCP:4662 TCP
    "4711:TCP"= 4711:TCP:4711 TCP
    "4672:UDP"= 4672:UDP:4672 UDP

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]
    S3 gAGP440p;gAGP440p;C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys []

    *Newly Created Service* - CATCHME
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-27 17:32:31
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MysqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
    .
    Temps d'accomplissement: 2008-05-27 17:35:11
    ComboFix-quarantined-files.txt 2008-05-27 15:35:01

    Pre-Run: 68,761,071,616 octets libres
    Post-Run: 68,920,332,288 octets libres

    187 --- E O F --- 2008-05-16 03:18:05
    0
  8. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    Rappel : une fois que ComboFix est lancé, il ne faut pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme.
    Il est recommandé de laisser l'outil analyser et nettoyer le PC sans utiliser quoi que ce soit d'autre...
    Sélectionne le texte suivant (Ctrl+A):
    Driver::
    gAGP440p
    File::
    C:\WINDOWS\system32\tmp.reg
    C:\hjejovma.sys
    C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
    Folder::
    C:\VundoFix Backups
    C:\Program Files\AskPBar

    Copie le texte sélectionné (CTRL+C).
    Ouvre le Bloc-notes (Démarrer/Tous les programmes/Accessoires/Bloc-notes).
    Colle le texte copié dans ce Bloc-notes (CTRL+V).
    Sauvegarde ce fichier sur ton Bureau sous le nom de CFScript.txt (CFScript)
    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
    Comme l'image le montre, fait glisser CFScript.txt sur ComboFix.exe(ComboFix)
    Une fenêtre à fond bleu va s'ouvrir: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    Laisse ComboFix travailler
    Patiente le temps de l'analyse. Le Bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le nettoyage n'est pas terminé.
    Un rapport va s'afficher: poste son contenu.
    Si le fichier ne s'ouvre pas, tu le trouves ici, à la racine de ton Système, en principe : C:\ComboFix.txt (C:\ComboFix)

    0
  9. Seilenos
     
    Fait, et voilà le résultat :

    ComboFix 08-05-26.2 - Nicolas Prenant 2008-05-27 19:14:59.2 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.617 [GMT 2:00]
    Endroit: C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\Nicolas Prenant\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    FILE ::
    C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\gAGP440p.sys
    C:\hjejovma.sys
    C:\WINDOWS\system32\tmp.reg
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\hjejovma.sys
    C:\Program Files\AskPBar
    C:\Program Files\AskPBar\bar\1.bin\ASKPBAR.DLL
    C:\Program Files\AskPBar\bar\Cache\[u]0/u0096843
    C:\Program Files\AskPBar\bar\Cache\[u]0/u0096B70
    C:\Program Files\AskPBar\bar\Cache\[u]0/u0096EDB.bin
    C:\Program Files\AskPBar\bar\Cache\[u]0/u0097294.bin
    C:\Program Files\AskPBar\bar\Cache\[u]0/u00975D0.bin
    C:\Program Files\AskPBar\bar\Cache\files.ini
    C:\Program Files\AskPBar\bar\History\search2
    C:\Program Files\AskPBar\bar\Settings\prevcfg2.htm
    C:\VundoFix Backups
    C:\WINDOWS\system32\tmp.reg

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_GAGP440P
    -------\Service_gAGP440p

    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-27 to 2008-05-27 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\Malwarebytes
    2008-05-27 14:49 . 2008-05-27 14:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-27 14:49 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-05-27 14:49 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-05-27 07:11 . 2008-05-27 07:11 <REP> d-------- C:\Program Files\Trend Micro
    2008-05-26 04:24 . 2008-05-26 04:24 <REP> d-------- C:\Program Files\7-Zip
    2008-05-18 18:59 . 2008-05-18 18:59 <REP> d-------- C:\Program Files\EA GAMES
    2008-05-14 01:14 . 2008-05-14 01:14 <REP> d-------- C:\Program Files\JoWood
    2008-05-14 01:05 . 2008-05-14 01:08 <REP> d-------- C:\Program Files\Kingpin
    2008-05-13 17:46 . 2003-10-27 14:06 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX
    2008-05-13 17:46 . 2003-10-27 14:06 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
    2008-05-13 17:46 . 2003-10-27 14:06 69,632 --a------ C:\WINDOWS\system32\xmltok.dll
    2008-05-13 17:46 . 2003-10-27 14:06 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll
    2008-05-13 17:46 . 2003-10-27 14:06 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca
    2008-05-13 17:46 . 2003-10-27 14:06 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe
    2008-05-13 17:41 . 2008-05-21 22:54 <REP> d-------- C:\Program Files\UBISOFT
    2008-05-13 00:11 . 2008-05-13 02:21 <REP> d-------- C:\Program Files\Future Pinball
    2008-05-11 20:39 . 2008-05-11 20:39 <REP> d-------- C:\Documents and Settings\Nicolas Prenant\Application Data\DivX
    2008-05-11 20:38 . 2008-05-11 20:38 <REP> d-------- C:\Program Files\DivX
    2008-05-11 20:38 . 2008-03-21 22:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
    2008-05-11 20:38 . 2008-03-21 22:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
    2008-05-11 20:33 . 2008-05-12 16:03 38 --a------ C:\WINDOWS\avisplitter.INI
    2008-05-05 00:09 . 2008-05-05 00:09 <REP> d-------- C:\Program Files\The Weather Channel FW
    2008-05-05 00:07 . 2008-05-13 05:01 <REP> d-------- C:\Program Files\Trillian

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-27 02:11 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\uTorrent
    2008-05-27 01:55 --------- d-----w C:\Program Files\eMule
    2008-05-21 23:44 --------- d-----w C:\Program Files\Wesnoth
    2008-05-21 20:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-13 23:13 --------- d-----w C:\Program Files\EA SPORTS
    2008-05-13 23:12 --------- d-----w C:\Program Files\IndustryGiant2
    2008-05-13 17:34 --------- d-----w C:\Program Files\ASC
    2008-05-07 20:48 --------- d-----w C:\Program Files\Soulseek
    2008-05-07 13:51 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\AdobeUM
    2008-04-23 13:54 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-04-23 13:54 --------- d-----w C:\Program Files\Windows Live
    2008-04-23 13:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-04-07 07:47 --------- d-----w C:\Program Files\QuickTime
    2008-04-07 07:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple Computer
    2008-04-05 17:20 --------- d-----w C:\Program Files\SecondLife
    2008-04-03 01:55 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\SecondLife
    2008-04-02 13:22 --------- d-----w C:\Documents and Settings\Nicolas Prenant\Application Data\Apple Computer
    2008-04-01 12:39 --------- d-----w C:\Program Files\Lavalys
    2008-03-31 19:43 --------- d-----w C:\Program Files\NVIDIA Corporation
    2008-03-31 14:30 --------- d-----w C:\Program Files\Apple Software Update
    2008-03-31 14:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Apple
    .

    ((((((((((((((((((((((((((((( snapshot@2008-05-27_17.34.54,09 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-05-27 15:20:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-05-27 17:18:27 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
    + 2008-05-27 17:18:49 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_538.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-05 15:00 208952]
    "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
    "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-05 15:00 455168]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
    "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-10-08 04:14 81920]
    "ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 11:31 24576]
    "WinampAgent"="C:\Program Files\Winamp\wianmpa.exe" [ ]
    "DeathAdder"="C:\Program Files\Razer\DeathAdder\razerhid.exe" [2007-05-07 18:40 159744]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
    "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
    "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-03-28 23:37 413696]
    "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-16 14:08 180269]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15:00 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"=
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\APPS\\Inventime\\my.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
    "C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
    "C:\\Program Files\\Soulseek\\slsk.exe"=
    "C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\jeux et sauvegardes\\PSX\\ePSXe.exe"=
    "C:\\Program Files\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40k.exe"=
    "C:\\Documents and Settings\\Nicolas Prenant\\Mes documents\\programmes divers\\caratruf\\Truf.exe"=
    "C:\\Program Files\\THQ\\Dawn of War\\W40kWA.exe"=
    "C:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
    "C:\\WINDOWS\\system32\\javaw.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\Fichiers communs\\PocketSoft\\RTPatch\\AutoRTP\\artpschd.exe"=
    "C:\\WINDOWS\\system32\\dplaysvr.exe"=
    "C:\\Program Files\\FileZilla\\filezilla.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\SecondLife\\SLVoice.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "9725:TCP"= 9725:TCP:eMule_TCP
    "11307:UDP"= 11307:UDP:eMule_UDP
    "4662:TCP"= 4662:TCP:4662 TCP
    "4711:TCP"= 4711:TCP:4711 TCP
    "4672:UDP"= 4672:UDP:4672 UDP

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2007-04-12 07:46]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-04-14 06:30:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-27 19:20:07
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MysqlInventime]
    "ImagePath"="c:\mysql\bin\mysqld-nt MysqlInventime"
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\APPS\ABOARD\AOSD.EXE
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Razer\DeathAdder\razerofa.exe
    C:\lotus\register\remind32.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-27 19:29:19 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-27 17:28:14
    ComboFix2.txt 2008-05-27 15:35:12

    Pre-Run: 69,054,599,168 octets libres
    Post-Run: 68,984,680,448 octets libres

    190 --- E O F --- 2008-05-16 03:18:05
    0
  10. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    comment se comporte le PC?

    Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
    http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
    Clique sur Recherche et laisse le Scan se terminer.
    Clique sur Suppression pour finaliser.
    Tu peux, si tu le souhaites, te servir des Options facultatives.
    Clique sur Quitter, pour que le rapport puisse se créer.
    Poste-moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

    Faire un Scan antivirus en ligne avec Internet explorer et accepter l'ActiveX
    poster le rapport ici ensuite
    https://www.bitdefender.fr/

    En bas, à gauche de la fenêtre, clique sur Bit Defender SCAN ONLINE
    Dans la nouvelle fenêtre, clique sur j’accepte
    La fenêtre change encore, clique sur Scanner
    Les signatures se chargent, etc.

    0
  11. Seilenos
     
    Tout semble bon... Avast ne me signale plus de problème, et je ne trouve plus rien après plusieurs scans des autres programmes.

    Le rapport toolscleaner :

    -->- Recherche:

    C:\Qoobox: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.lnk: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Bureau\VirtumundoBeGone.exe: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Bureau\vundoFix.exe: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Bureau\SmitFraudfix: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Mes documents\Downloads Firefox\HJTInstall.exe: trouvé !
    C:\Documents and Settings\Nicolas Prenant\Mes documents\programmes divers\SmitFraudFix.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !

    Le rapport bitdefender :

    http://nprenant.free.fr/test/bitd.html

    Je pense que tout va bien, maintenant, merci beaucoup pour l'aide.
    0
  12. papyber Messages postés 6430 Statut Contributeur sécurité 257
     
    c'est tout bon!!
    si tout va bien supprime tout ce qu'on a utilisé et qui ne l'a pas été par Tools Cleaner2, car ce ne sera plus utile désormais
    conserve néanmoins Ccleaner ou
    Télécharge : - Ccleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
    Un tuto
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm
    et effectue le nettoyage tous les jours avant de couper le PC

    installe ce logiciel très utile et Scanne ton PC avec une fois par semaine au moins...
    MalwareByte
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    Installe-le
    Dans l'onglet Recherche, clique sur Exécuter un examen complet puis sur Rechercher.
    Sélectionne ton (tes) disques durs.
    Lancer l'examen
    Clique sur Enregistrer le rapport et choisis ton Bureau

    tu peux le coupler avec celui-ci
    Spybot Search and Destroy
    https://www.safer-networking.org/?page=download

    défragmente

    pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

    https://forum.pcastuces.com/default.asp

    désactive ta restauration
    clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
    redémarre ton PC
    clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer

    la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...

    et bon surf
    0