Pc infecté par win32 vundrop+autres problèmes
Résolu
frederieb
Messages postés
209
Statut
Membre
-
g!rly Messages postés 18462 Statut Contributeur -
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
depuis 2 jours, mon anti virus (avast) me signale une "attaque" d' 1 dropper : win32 vundrop, dès que j' allume mon pc et ceci, plusiurs fois par heure, il me dit où est le fichier infecté, je le supprime, mais cela revient toujours.
Depuis hier, j' ai, en plus, ce message (de mon anti virus) : bouclier réseau : DCOM exploit bloqué.
Mon PC est très lent, se coupe d'internet tout seul, je ne peux plus l' éteindre (hier il n' y avait même plus "arrêter" d' écrit).
Hier, j' ai eu un compte à rebours d' 1 minute, me disant que le système allait s'arrêter, mais au bout de la minute : rien
Voilà, je pense avoir résumé au mieux la situation.
Ce que j' ai fait :
- spybot
- ccleaner
- analyser en ligne sur secuser : rien trouvé
tout ça en désactivant la restauration du système
si quelqu' un peut m' aider, merci
depuis 2 jours, mon anti virus (avast) me signale une "attaque" d' 1 dropper : win32 vundrop, dès que j' allume mon pc et ceci, plusiurs fois par heure, il me dit où est le fichier infecté, je le supprime, mais cela revient toujours.
Depuis hier, j' ai, en plus, ce message (de mon anti virus) : bouclier réseau : DCOM exploit bloqué.
Mon PC est très lent, se coupe d'internet tout seul, je ne peux plus l' éteindre (hier il n' y avait même plus "arrêter" d' écrit).
Hier, j' ai eu un compte à rebours d' 1 minute, me disant que le système allait s'arrêter, mais au bout de la minute : rien
Voilà, je pense avoir résumé au mieux la situation.
Ce que j' ai fait :
- spybot
- ccleaner
- analyser en ligne sur secuser : rien trouvé
tout ça en désactivant la restauration du système
si quelqu' un peut m' aider, merci
A voir également:
- Pc infecté par win32 vundrop+autres problèmes
- Reinitialiser pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Double ecran pc - Guide
- Forcer demarrage pc - Guide
165 réponses
ok
fais ceci :
click sur demarrer > executer > tape : Combofix /u
en suite verrifies que tu n´as plus de dossier concernant combofix a la racine de c si tu en as encore supprime les
puis
Télécharge combofix.exe (par sUBs) sur ton Bureau.
-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
@+
fais ceci :
click sur demarrer > executer > tape : Combofix /u
en suite verrifies que tu n´as plus de dossier concernant combofix a la racine de c si tu en as encore supprime les
puis
Télécharge combofix.exe (par sUBs) sur ton Bureau.
-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
@+
ComboFix 08-05-29.1 - FREDERIE 2008-06-01 10:39:12.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.248 [GMT 2:00]
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\msmsgs.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-31 15:33 . 2008-05-31 15:33 40,142 ---hs---- C:\lox.exe
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"Mr"="C:\WINDOWS\rundll32.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-06-01 10:43 27907]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-06-01 10:43 27907]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"Mr"="C:\WINDOWS\rundll32.exe" [ ]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hpothb07.dat [2005-08-30 12:16:13 209]
hpothb07.tif [2005-08-30 12:16:12 263]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2006-12-20 16:02:03 123640]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"= C:\WINDOWS\System32\ljJCvsTn.dll [2008-06-01 10:43 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
ljJCvsTn.dll 2008-06-01 10:43 57344 C:\WINDOWS\system32\ljJCvsTn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 10:41:04
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\System32\ljJCvsTn.dll
.
Temps d'accomplissement: 2008-06-01 10:45:06
ComboFix-quarantined-files.txt 2008-06-01 08:44:51
Pre-Run: 1,943,863,296 octets libres
Post-Run: 1,971,392,512 octets libres
120
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.248 [GMT 2:00]
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\msmsgs.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-31 15:33 . 2008-05-31 15:33 40,142 ---hs---- C:\lox.exe
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"Mr"="C:\WINDOWS\rundll32.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-06-01 10:43 27907]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-06-01 10:43 27907]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"Mr"="C:\WINDOWS\rundll32.exe" [ ]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hpothb07.dat [2005-08-30 12:16:13 209]
hpothb07.tif [2005-08-30 12:16:12 263]
Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [2006-12-20 16:02:03 123640]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"= C:\WINDOWS\System32\ljJCvsTn.dll [2008-06-01 10:43 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
ljJCvsTn.dll 2008-06-01 10:43 57344 C:\WINDOWS\system32\ljJCvsTn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 10:41:04
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\System32\ljJCvsTn.dll
.
Temps d'accomplissement: 2008-06-01 10:45:06
ComboFix-quarantined-files.txt 2008-06-01 08:44:51
Pre-Run: 1,943,863,296 octets libres
Post-Run: 1,971,392,512 octets libres
120
ok
la suite :
Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://perso.orange.fr/rginformatique/section%20virus/democleanup.htm
click sur option et décoche la case devant : delete prefect files
vide le manuellement :
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
Pour vider le contenu du fichier prefetch il faut afficher les fichiers et dossiers cachés :
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
apres redemarrage :
Copie le texte ci-dessous :
File::
C:\WINDOWS\rundll32.exe
C:\lox.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
il te sert a quoi ce programme :
C:\Program Files\MioNet
fais analyser ce fichier, car le processus ne devrait pas figurer dans les programmes executés au demarrage :
C:\WINDOWS\System32\mdm.ex
sur ce site :
http://virusscan.jotti.org/de/
post egalement le rapport
@+
la suite :
Vide tes fichiers temporaires avec ceci:
->Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
->aide en image:(merci a Balltrap34)
http://perso.orange.fr/rginformatique/section%20virus/democleanup.htm
click sur option et décoche la case devant : delete prefect files
vide le manuellement :
:: Le contenu du dossier prefetch ::
* C:\WINDOWS\Prefetch <= sauf le fichier layout.ini
* Ne pas oublier de vider la corbeille !
Pour vider le contenu du fichier prefetch il faut afficher les fichiers et dossiers cachés :
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cacher
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «Ok» pour valider les changements.
Et appliquer !
apres redemarrage :
Copie le texte ci-dessous :
File::
C:\WINDOWS\rundll32.exe
C:\lox.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
il te sert a quoi ce programme :
C:\Program Files\MioNet
fais analyser ce fichier, car le processus ne devrait pas figurer dans les programmes executés au demarrage :
C:\WINDOWS\System32\mdm.ex
sur ce site :
http://virusscan.jotti.org/de/
post egalement le rapport
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
merci pour ton aide, je fais tout ça, si je ne reviens pas, c' set que je peux plus me reconnecter, je suis sans cesse coupée...
ComboFix 08-05-29.1 - FREDERIE 2008-06-01 11:27:15.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.229 [GMT 2:00]
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\FREDERIE\Bureau\CFScript.txt..txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
FILE ::
C:\lox.exe
C:\WINDOWS\rundll32.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\lox.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\attvbqhp.dll
C:\WINDOWS\system32\awtsTJdB.dll
C:\WINDOWS\system32\BdJTstwa.ini
C:\WINDOWS\system32\BdJTstwa.ini2
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\phqbvtta.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 11:10 . 2008-06-01 11:10 57,344 --a------ C:\WINDOWS\system32\pmnlkLCs.dll
2008-06-01 11:06 . 2008-06-01 11:06 <REP> d-------- C:\Program Files\CleanUp!
2008-06-01 10:43 . 2008-06-01 10:43 57,344 --a------ C:\WINDOWS\system32\ljJCvsTn.dll
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:08 --------- d-----w C:\Program Files\AtomixMP3
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-06-01_10.42.25,40 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-01 08:35:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-01 09:30:29 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-03-13 08:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-01 08:31:29 9,793 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6S1QDT7N\mixit[1].exe
+ 2008-06-01 08:43:02 27,907 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6S1QDT7N\mixit[1].exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}]
2008-06-01 10:43 57344 --a------ C:\WINDOWS\System32\ljJCvsTn.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [ ]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"= C:\WINDOWS\System32\ljJCvsTn.dll [2008-06-01 10:43 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
ljJCvsTn.dll 2008-06-01 10:43 57344 C:\WINDOWS\system32\ljJCvsTn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 11:38:15
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJCvsTn.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\incdsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-01 11:47:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-01 09:47:12
ComboFix2.txt 2008-06-01 08:45:07
Pre-Run: 2,502,627,328 octets libres
Post-Run: 2,480,730,112 octets libres
153
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.229 [GMT 2:00]
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\FREDERIE\Bureau\CFScript.txt..txt
* Création d'un nouveau point de restauration
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color
FILE ::
C:\lox.exe
C:\WINDOWS\rundll32.exe
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\lox.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\attvbqhp.dll
C:\WINDOWS\system32\awtsTJdB.dll
C:\WINDOWS\system32\BdJTstwa.ini
C:\WINDOWS\system32\BdJTstwa.ini2
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\phqbvtta.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 11:10 . 2008-06-01 11:10 57,344 --a------ C:\WINDOWS\system32\pmnlkLCs.dll
2008-06-01 11:06 . 2008-06-01 11:06 <REP> d-------- C:\Program Files\CleanUp!
2008-06-01 10:43 . 2008-06-01 10:43 57,344 --a------ C:\WINDOWS\system32\ljJCvsTn.dll
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:08 --------- d-----w C:\Program Files\AtomixMP3
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-06-01_10.42.25,40 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-01 08:35:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-01 09:30:29 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-03-13 08:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-01 08:31:29 9,793 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6S1QDT7N\mixit[1].exe
+ 2008-06-01 08:43:02 27,907 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6S1QDT7N\mixit[1].exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}]
2008-06-01 10:43 57344 --a------ C:\WINDOWS\System32\ljJCvsTn.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [ ]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"= C:\WINDOWS\System32\ljJCvsTn.dll [2008-06-01 10:43 57344]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
ljJCvsTn.dll 2008-06-01 10:43 57344 C:\WINDOWS\system32\ljJCvsTn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 11:38:15
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJCvsTn.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\incdsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-01 11:47:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-01 09:47:12
ComboFix2.txt 2008-06-01 08:45:07
Pre-Run: 2,502,627,328 octets libres
Post-Run: 2,480,730,112 octets libres
153
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:29, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {487C9905-26A8-42C8-8033-C58AD3D2AEC3} - C:\WINDOWS\System32\ljJCvsTn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 86.64.145.146 84.103.237.146
O20 - Winlogon Notify: ljJCvsTn - C:\WINDOWS\SYSTEM32\ljJCvsTn.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
Scan saved at 11:48:29, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: (no name) - {487C9905-26A8-42C8-8033-C58AD3D2AEC3} - C:\WINDOWS\System32\ljJCvsTn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 86.64.145.146 84.103.237.146
O20 - Winlogon Notify: ljJCvsTn - C:\WINDOWS\SYSTEM32\ljJCvsTn.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
ok
tres bien
fais ceci maintenant :
Copie le texte ci-dessous :
File::
C:\WINDOWS\system32\pmnlkLCs.dll
C:\WINDOWS\system32\ljJCvsTn.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
@+
tres bien
fais ceci maintenant :
Copie le texte ci-dessous :
File::
C:\WINDOWS\system32\pmnlkLCs.dll
C:\WINDOWS\system32\ljJCvsTn.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{487C9905-26A8-42C8-8033-C58AD3D2AEC3}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{487C9905-26A8-42C8-8033-C58AD3D2AEC3}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCvsTn]
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
Cela va relancer Combofix,
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
@+
ok pour mionet...
C:\WINDOWS\System32\mdm.exe vient d´etre supprimé, enfin la mauvaise...
fais la suite O_Ö post 84,
une infection est apparue apres avoir modifié l´AppInit avec le script du post 77
avec le script du post 84 on va la supprimer...
@+
C:\WINDOWS\System32\mdm.exe vient d´etre supprimé, enfin la mauvaise...
fais la suite O_Ö post 84,
une infection est apparue apres avoir modifié l´AppInit avec le script du post 77
avec le script du post 84 on va la supprimer...
@+
me revoilà, combofix ne s'est pas déroulé correctement, j' ai eu plein de messages d'erreurs
C:|WINDOWS|erdnt|Hiv-bakup|SECURITY
idem avec software à la fin
idem avec system, default, SAV et encore plein d'autres.....
aprsè tout était bloqué, j' ai arrêter
voici le rapport
ComboFix 08-05-29.1 - FREDERIE 2008-06-01 12:04:17.4 - NTFSx86
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\FREDERIE\Bureau\CFScript.txt..txt
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\ljJCvsTn.dll
C:\WINDOWS\system32\pmnlkLCs.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\chrsxiqn.ini
C:\WINDOWS\system32\fccBttrs.dll
C:\WINDOWS\system32\ljJCvsTn.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\nqixsrhc.dll
C:\WINDOWS\system32\pmnlkLCs.dll
C:\WINDOWS\system32\srttBccf.ini
C:\WINDOWS\system32\srttBccf.ini2
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 12:02 . 2008-06-01 12:02 40,142 ---hs---- C:\lox.exe
2008-06-01 11:53 . 2008-06-01 11:53 57,344 --a------ C:\WINDOWS\system32\nnnLFVLd.dll
2008-06-01 11:06 . 2008-06-01 11:06 <REP> d-------- C:\Program Files\CleanUp!
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:08 --------- d-----w C:\Program Files\AtomixMP3
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-06-01_10.42.25,40 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-01 08:35:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-01 10:19:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-03-13 08:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-01 07:55:29 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-01 10:02:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 10:02:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 10:02:02 41,294 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\30JRKSD2\mmdmm[1].exe
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 10:02:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 09:53:51 27,907 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9ANO96R\mixit[1].exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [ ]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 12:19:39
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\incdsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-01 12:28:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-01 10:27:50
ComboFix2.txt 2008-06-01 09:47:21
ComboFix3.txt 2008-06-01 08:45:07
Pre-Run: 2,574,856,192 octets libres
Post-Run: 2,587,168,768 octets libres
152
C:|WINDOWS|erdnt|Hiv-bakup|SECURITY
idem avec software à la fin
idem avec system, default, SAV et encore plein d'autres.....
aprsè tout était bloqué, j' ai arrêter
voici le rapport
ComboFix 08-05-29.1 - FREDERIE 2008-06-01 12:04:17.4 - NTFSx86
Endroit: C:\Documents and Settings\FREDERIE\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\FREDERIE\Bureau\CFScript.txt..txt
[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
FILE ::
C:\WINDOWS\system32\ljJCvsTn.dll
C:\WINDOWS\system32\pmnlkLCs.dll
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\chrsxiqn.ini
C:\WINDOWS\system32\fccBttrs.dll
C:\WINDOWS\system32\ljJCvsTn.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\nqixsrhc.dll
C:\WINDOWS\system32\pmnlkLCs.dll
C:\WINDOWS\system32\srttBccf.ini
C:\WINDOWS\system32\srttBccf.ini2
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-01 to 2008-06-01 ))))))))))))))))))))))))))))))))))))
.
2008-06-01 12:02 . 2008-06-01 12:02 40,142 ---hs---- C:\lox.exe
2008-06-01 11:53 . 2008-06-01 11:53 57,344 --a------ C:\WINDOWS\system32\nnnLFVLd.dll
2008-06-01 11:06 . 2008-06-01 11:06 <REP> d-------- C:\Program Files\CleanUp!
2008-06-01 09:48 . 2008-06-01 09:48 <REP> d-------- C:\Program Files\Avira
2008-06-01 09:38 . 2008-06-01 09:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-30 19:27 . 2008-05-30 19:27 <REP> d-------- C:\_OTMoveIt
2008-05-30 11:07 . 2008-05-30 11:08 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-30 10:03 . 2008-05-31 15:43 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 10:03 . 2008-05-30 10:03 <REP> d-------- C:\Documents and Settings\FREDERIE\Application Data\Malwarebytes
2008-05-29 13:08 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\LPT$VPN.307
2008-05-29 13:05 . 2008-05-29 13:07 <REP> d-------- C:\WINDOWS\AU_Temp
2008-05-29 12:55 . 2008-05-29 12:55 36,357,537 --a------ C:\WINDOWS\VPTNFILE.307
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-01 09:08 --------- d-----w C:\Program Files\AtomixMP3
2008-05-30 16:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-29 19:43 --------- d-----w C:\Documents and Settings\FREDERIE\Application Data\gtk-2.0
2008-05-29 11:07 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-05-29 11:07 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-05-29 10:55 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll
2008-05-29 10:55 333,576 ----a-w C:\WINDOWS\tsc.exe
2008-05-29 10:33 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-05-29 10:33 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-05-29 10:33 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-04-21 08:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-04-02 06:42 --------- d-----w C:\Program Files\MioNet
2004-03-10 21:00 903,100 ----a-w C:\Program Files\cdjaquette_5.zip
.
------- Sigcheck -------
.
((((((((((((((((((((((((((((( snapshot@2008-06-01_10.42.25,40 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-01 08:35:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-01 10:19:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2007-03-13 08:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-06-01 07:55:29 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-06-01 10:02:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 10:02:02 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat
+ 2008-06-01 10:02:02 41,294 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\30JRKSD2\mmdmm[1].exe
- 2008-06-01 07:55:29 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 10:02:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-01 09:53:51 27,907 ----a-w C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\O9ANO96R\mixit[1].exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 188,416 2003-06-20 10:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\bak\ECB-BP.exe
----a-w 188,416 2003-06-20 09:09:50 C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
----a-w 146,432 2003-12-08 16:44:59 C:\Program Files\Fichiers communs\Real\Update_OB\bak\evntsvc.exe
----a-w 171,448 2007-01-25 16:45:26 C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\bak\GoogleToolbarNotifier.exe
----a-w 77,824 2004-01-11 17:48:56 C:\Program Files\QuickTime\bak\qttask.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AGRSMMSG"="AGRSMMSG.exe" [2003-02-14 11:59 88107 C:\WINDOWS\AGRSMMSG.exe]
"AdslTaskBar"="stmctrl.dll" [2003-09-19 13:24 151552 C:\WINDOWS\system32\stmctrl.dll]
"eCarteBleue-BP"="C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" [2003-06-20 11:09 188416]
"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-02-11 02:03 13312]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [ ]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogoff"= 0 (0x0)
"SpecifyDefaultButtons"= 0 (0x0)
"Btn_Search"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.dvsd"= C:\PROGRA~1\FICHIE~1\SONYSH~1\DVLib\sonydv.dll
R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R0 PrecSim;PrecSim;C:\WINDOWS\System32\DRIVERS\precsim.sys [2002-05-22 00:00]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R2 MioNet;MioNet Service;"C:\Program Files\MioNet\MioNetManager.exe" -s "C:\Program Files\MioNet\wrapper.conf" []
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2003-09-19 13:24]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2003-09-19 13:24]
S3 SPC610NC;Philips SPC500NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC610NC.SYS [2005-10-13 17:41]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\System32\DRIVERS\w300bus.sys [2006-03-13 16:49]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\System32\DRIVERS\w300mdfl.sys [2006-03-13 16:50]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\System32\DRIVERS\w300mdm.sys [2006-03-13 16:50]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\System32\DRIVERS\w300mgmt.sys [2006-03-13 16:50]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\System32\DRIVERS\w300obex.sys [2006-03-13 16:50]
S4 AVWUpSrv;AntiVir Update;C:\Program Files\AVPersonal\AVWUPSRV.EXE []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-01 12:19:39
Windows 5.1.2600 Service Pack 1 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\incdsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\sv_httpd.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\Sony Shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-01 12:28:01 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-01 10:27:50
ComboFix2.txt 2008-06-01 09:47:21
ComboFix3.txt 2008-06-01 08:45:07
Pre-Run: 2,574,856,192 octets libres
Post-Run: 2,587,168,768 octets libres
152
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31:54, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 86.64.145.141 84.103.237.141
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
Scan saved at 12:31:54, on 01/06/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\MioNet\MioNetManager.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
C:\Program Files\MioNet\jvm\bin\MioNet.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\rundll32.exe
C:\Documents and Settings\FREDERIE\Bureau\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dbsarticles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.tele2internet.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [eCarteBleue-BP] "C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Oftice] C:\WINDOWS\System32\msmsgs.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Mr] C:\WINDOWS\rundll32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpothb07.dat
O4 - Global Startup: hpothb07.tif
O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.orange.fr/portail
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E35E0F0-2E8D-4DAF-9AFD-693BCE880A7D}: NameServer = 86.64.145.141 84.103.237.141
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Program Files\MioNet\MioNetManager.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\FICHIE~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: VAIO Media Photo Server (Application) (VAIOMediaPlatform-PhotoServer-AppServer) - Unknown owner - C:\Program Files\sony\photo server 20\appsrv\PicAppSrv.exe
O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\SV_Httpd.exe
O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Fichiers communs\sony shared\vaio media platform\UPnPFramework.exe
re,
je veux bien te croire, les infections reviennent !?
* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
n´y touche pas
redemarre en mode sans echec:
Comment redémarrer en mode sans echec?
Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.
Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.
Fix.reg
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :
C:\lox.exe
C:\WINDOWS\system32\nnnLFVLd.dll
C:\WINDOWS\rundll32.exe
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Redemarre normalement et post le rapport de ot_move it ici stp .
post ce rapport egalement :
Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file
-> http://www.geekstogo.com/forum/files/
Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
Soit patient...
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.
Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.
@+
je veux bien te croire, les infections reviennent !?
* Télécharge OTMoveIt2 (de Old_Timer) sur ton bureau : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
n´y touche pas
redemarre en mode sans echec:
Comment redémarrer en mode sans echec?
Tu redemarre le pc et tapote la touche F8 des le début de l allumage sans t´arrêter.
Une fenêtre sur fond noir va s’ouvrir, tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
capture d´ecran : http://www.coupdepoucepc.com/images_cdppc4/fichespratiques/windowsxp/modese/modese2.jpg
Une fois sur le bureau si il n y a pas toutes les couleurs et autres c´est normal!
Ps : si F8 ne marche pas utilise la touche F5.
Note : en mode sans echec tu n´auras plus acces au net alors imprime ou copie les instructions ci dessous dans un fichier texte que tu pourras consulter a souhait
une fois en mode sans echec.
Fix.reg
Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Networking Monitoring"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Mr"=-
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
ca doit ressembler a ca une fois enrregistré :
http://img520.imageshack.us/img520/4251/screenshot005ps2.png
double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"
* Double-clique sur OTMoveIt.exe pour lancer le programme,
* Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Custom List of Files/Folders to Move" :
C:\lox.exe
C:\WINDOWS\system32\nnnLFVLd.dll
C:\WINDOWS\rundll32.exe
* Clique sur MoveIt! pour lancer la suppression,
* Le résultat appraraîtra dans le cadre Results.
* Clique sur Exit pour fermer le programme.
* Poste le rapport qui est situé ici : C:\\\_OTMoveIt\MovedFiles
* Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
Redemarre normalement et post le rapport de ot_move it ici stp .
post ce rapport egalement :
Télécharge ComboScan sur ton Bureau en bas de cette pae en clickant sur download file
-> http://www.geekstogo.com/forum/files/
Ferme toutes les applications en cours : antivirus, pare-feu, etc ..
Double-clic sur comboscan.exe, dans la fenêtre qui s'affiche, clic sur OK.
Soit patient...
Le rapport Comboscan.txt s'affichera, copie et colle le contenu de ce fichier ici.
Le rapport peut-être long et en deux morceaux vérifie qu'il soit en entier.
@+
ok, merci je vais faire ça, mais j' ai 1 nouveau problème, mon n' imprimante n' est plus reconnue......
