Sujet Précédent Sujet Suivant

Que dit mon hijackthis?

Résolu/Fermé
cafanada - 30 mai 2008 à 16:45
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 3 juin 2008 à 21:25
Bonjour,
jai un probleme avec mon ordi, jai un virus, mais jai suprimer le fichier du virus je pense car je ne peut pas le clean..

j'ai essayer hijackthis mais je ne c pas koi faire.

si kelkun pourai maider a expliker ce ke cela veut je serai tres content et cela serai tres genitl de votre part.

jatend une reponse avec impatience car les fenettrre de poker etc etc ki souvre me rende fou merci bcp

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:32:31, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\igfxtray.exe
E:\WINDOWS\System32\hkcmd.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
E:\PROGRA~1\SYMANT~1\VPTray.exe
E:\Program Files\Symantec AntiVirus\DefWatch.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Symantec AntiVirus\Rtvscan.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\CCleaner\CCleaner.exe
E:\Program Files\AxBx\Multi Virus Cleaner 2008\MVC.exe
E:\WINDOWS\explorer.exe
E:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [2229115b] rundll32.exe "E:\WINDOWS\system32\rtykdsbh.dll",b
O4 - HKLM\..\Run: [BM4bbb7d07] Rundll32.exe "E:\WINDOWS\system32\hovdlhnr.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B98D5E-E4B6-4019-A4AE-C1E6F168F60B}: NameServer = 142.51.1.52,142.51.1.53
O23 - Service: Boonty Games - BOONTY - E:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - E:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - E:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - E:\Program Files\Symantec AntiVirus\Rtvscan.exe

12 réponses

Réponse 1 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 17:01
Bonjour et bienvenue sur CCM.

1/ Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec

------
= Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel
-------

= Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
= Appuie sur Y pour commencer le processus de nettoyage.
= Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
= Appuie sur une touche pour redémarrer le PC.
= Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
= Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
= Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
= Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
= Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse


2/ Télécharge malwarebytes
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

=> Installe le
=> Ensuite va en mode sans echec


Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel


=> Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport

@+
0
cafanada
30 mai 2008 à 19:31
merci

voila ce ke jai obtenu

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 800

13:24:56 30/05/2008
mbam-log-5-30-2008 (13-24-56).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 59681
Temps écoulé: 29 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
E:\WINDOWS\system32\nnnlmNhh.dll (Trojan.Vundo) -> Unloaded module successfully.
E:\WINDOWS\system32\nnnooPHb.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnlmnhh (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e18a261a-60a4-408f-ab39-b83c306259c1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e18a261a-60a4-408f-ab39-b83c306259c1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\2229115b (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM4bbb7d07 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: e:\windows\system32\nnnoophb -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
E:\WINDOWS\system32\nnnlmNhh.dll (Trojan.Vundo) -> Delete on reboot.
E:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\rtykdsbh.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\hovdlhnr.dll (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\nnnooPHb.dll (Trojan.Vundo) -> Delete on reboot.


jespere que cela n'Est pas trop grave doctor.. merci pour ton aide.. j'apprecie bcp
0
Réponse 2 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 19:45
Ok ;-)

il serait bien que tu suive les instructions :-)
1/ sdfix
2/ Malwarebytes

poste le rapport de sdfix

@+
0
cafanada
30 mai 2008 à 19:49
desolé je penser ke il falai choisir un des deux liens je fait ca tout de suite chef
0
Réponse 3 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 20:15
Pas de soucis ;-)

J'attends ton rapport :-)
0
cafanada
30 mai 2008 à 21:08
voila

1/ avec sdfix



[b]SDFix: Version 1.187 [/b]
Run by Administrateur on 30/05/2008 at 13:57

Microsoft Windows XP [version 5.1.2600]
Running From: E:\DOCUME~1\ADMINI~1\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 14:04:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\Messenger\\msmsgs.exe"="E:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="E:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"E:\\Program Files\\Internet Explorer\\iexplore.exe"="E:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="E:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 19 May 2008 0 A..H. --- "E:\WINDOWS\SoftwareDistribution\Download\0a639c949e790d609251685186692b3a\BIT29.tmp"
Mon 19 May 2008 0 A..H. --- "E:\WINDOWS\SoftwareDistribution\Download\ad213d081e2675ef87a62c73b8abf209\BIT27.tmp"
Mon 19 May 2008 0 A..H. --- "E:\WINDOWS\SoftwareDistribution\Download\b04031f0b83ee952189dd8beb4ee929a\BIT26.tmp"
Mon 19 May 2008 0 A..H. --- "E:\WINDOWS\SoftwareDistribution\Download\cfbcb3a3d65e5711f4e0a6b970ad92ef\BIT28.tmp"
Tue 27 May 2008 444 ...HR --- "E:\Documents and Settings\Administrateur\Application Data\SecuROM\UserData\securom_v7_01.bak"

[b]Finished![/b]




2/
Malwarebytes' Anti-Malware 1.14
Version de la base de données: 800

15:00:55 30/05/2008
mbam-log-5-30-2008 (15-00-55).txt

Type de recherche: Examen complet (A:\|C:\|D:\|E:\|)
Eléments examinés: 60748
Temps écoulé: 28 minute(s), 27 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
E:\WINDOWS\system32\nnnlmNhh.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnlmnhh (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c5cd7fa0-3117-4cfe-8ffb-eb490c3a93bc} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c5cd7fa0-3117-4cfe-8ffb-eb490c3a93bc} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{eaf80eb1-1697-4efa-a156-5ae0aee3cce8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{87862e26-bda0-4a78-b94c-86bcb9428a6f} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
E:\WINDOWS\system32\nnnlmNhh.dll (Trojan.Vundo) -> Delete on reboot.
E:\WINDOWS\system32\nnnooPHb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\urqOFwtR.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


voila jespere c bon maintenan
0
Réponse 4 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 21:25
Très bien ;-)

refais un nouveau HijackThis stp

0
cafanada
30 mai 2008 à 21:30
voila

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:39, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\igfxtray.exe
E:\WINDOWS\System32\hkcmd.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
E:\PROGRA~1\SYMANT~1\VPTray.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Symantec AntiVirus\DefWatch.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Symantec AntiVirus\Rtvscan.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\rundll32.exe
E:\Program Files\Windows Live\Messenger\msnmsgr.exe
E:\Program Files\Windows Live\Messenger\usnsvc.exe
E:\WINDOWS\explorer.exe
E:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [BM4bbb7d07] Rundll32.exe "E:\WINDOWS\system32\bamxmika.dll",s
O4 - HKLM\..\Run: [2229115b] rundll32.exe "E:\WINDOWS\system32\ycmfkhij.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B98D5E-E4B6-4019-A4AE-C1E6F168F60B}: NameServer = 142.51.1.52,142.51.1.53
O23 - Service: Boonty Games - BOONTY - E:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - E:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - E:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - E:\Program Files\Symantec AntiVirus\Rtvscan.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 21:38
ok on passe à autre chose

Télécharge Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!
=> déconnecte toi d'internet et ferme toutes tes applications.
=> désactive tes protections (antivirus, parefeu,antispyware)
=> Double-clic sur combofix,
=> Ne touche à rien tant que le scan n'est pas terminé.Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
=> Attends que combofix ait terminé, un rapport sera créé.
=> réactive ton parefeu, ton antivirus, la garde de ton antispyware
=> copie/colle le rapport C:\ComboFix.txt


@+
0
cafanada
30 mai 2008 à 22:00
voila ce ke cela ma doner


ComboFix 08-05-29.1 - Administrateur 2008-05-30 15:46:01.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.133 [GMT -4:00]
Endroit: E:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\WINDOWS\BM4bbb7d07.xml
E:\WINDOWS\pskt.ini
E:\WINDOWS\system32\bamxmika.dll
E:\WINDOWS\system32\bHPoonnn.ini
E:\WINDOWS\system32\bHPoonnn.ini2
E:\WINDOWS\system32\fiRBbccf.ini
E:\WINDOWS\system32\fiRBbccf.ini2
E:\WINDOWS\system32\gtaewxqq.dll
E:\WINDOWS\system32\hbsdkytr.ini
E:\WINDOWS\system32\hovokxxd.dll
E:\WINDOWS\system32\jihkfmcy.ini
E:\WINDOWS\system32\nnnlmNhh.dll
E:\WINDOWS\system32\RtwFOqru.ini
E:\WINDOWS\system32\RtwFOqru.ini2
E:\WINDOWS\system32\ycmfkhij.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))))))))
.

2008-05-30 15:07 . 2008-05-30 15:07 278,528 --a------ E:\WINDOWS\system32\fccbBRif.dll
2008-05-30 13:52 . 2008-05-30 13:52 <REP> d-------- E:\WINDOWS\ERUNT
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-30 11:24 . 2008-05-30 01:06 34,296 --a------ E:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-30 11:24 . 2008-05-30 01:06 15,864 --a------ E:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 10:26 . 2008-05-30 10:26 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-30 10:24 . 2008-05-30 10:24 <REP> d-------- E:\Program Files\AxBx
2008-05-30 10:20 . 2008-05-30 10:20 <REP> d-------- E:\Program Files\Yahoo!
2008-05-30 10:20 . 2008-05-30 10:21 <REP> d-------- E:\Program Files\CCleaner
2008-05-29 16:07 . 2008-05-29 16:07 294 ---hs---- E:\WINDOWS\system32\byjrlgen.ini
2008-05-29 16:03 . 2008-05-29 16:03 <REP> dr------- E:\Documents and Settings\LocalService\Favoris
2008-05-27 13:38 . 2008-05-27 13:38 <REP> d-------- E:\Documents and Settings\All Users\Application Data\TVU Networks
2008-05-27 13:38 . 2008-05-27 13:38 <REP> d-------- E:\Documents and Settings\Administrateur\LocalLow
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Program Files\T‚l‚chargeur de F.C. Manager 2007
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Program Files\Fichiers communs\BOONTY Shared
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Documents and Settings\All Users\Application Data\BOONTY
2008-05-27 11:13 . 2008-05-27 11:13 <REP> d-------- E:\Program Files\T‚l‚chargeur de Football Manager 2008
2008-05-27 11:13 . 2008-05-27 11:13 <REP> dr-h----- E:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-05-27 11:13 . 2008-05-27 11:13 107,888 --a------ E:\WINDOWS\system32\CmdLineExt.dll
2008-05-27 11:12 . 2008-05-27 11:13 <REP> d-------- E:\Program Files\BoontyGames
2008-05-27 11:12 . 2008-05-27 11:12 <REP> d-------- E:\Program Files\Boonty
2008-05-27 10:30 . 2008-05-27 10:30 <REP> d-------- E:\Program Files\Online TV Player 4
2008-05-27 10:30 . 2008-05-27 10:30 10 --a------ E:\WINDOWS\system32\810429tv4-test.jun
2008-05-22 15:11 . 2008-05-22 15:11 <REP> d-------- E:\Program Files\ZikiTranslator
2008-05-06 08:44 . 2008-05-06 08:44 0 --a------ E:\WINDOWS\nsreg.dat
2008-05-02 08:35 . 2008-05-02 11:51 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\U3
2008-05-02 08:26 . 2008-05-02 08:26 <REP> d-------- E:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-04-29 08:33 . 2007-07-30 19:19 271,224 --a------ E:\WINDOWS\system32\mucltui.dll
2008-04-29 08:33 . 2007-07-30 19:19 207,736 --a------ E:\WINDOWS\system32\muweb.dll
2008-04-29 08:33 . 2007-07-30 19:18 30,072 --a------ E:\WINDOWS\system32\mucltui.dll.mui
2008-04-28 14:47 . 2008-05-05 17:08 <REP> d-------- E:\Documents and Settings\Administrateur\Contacts
2008-04-28 14:46 . 2008-04-28 14:46 <REP> d----c--- E:\WINDOWS\system32\DRVSTORE
2008-04-28 14:45 . 2008-04-28 14:46 <REP> d-------- E:\Program Files\Windows Live
2008-04-28 14:45 . 2008-04-28 14:45 <REP> d--hsc--- E:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-28 14:45 . 2008-04-28 14:45 <REP> d-------- E:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-28 11:09 . 2001-03-19 15:25 203,576 --a------ E:\WINDOWS\system32\RICHTX32.OCX
2008-04-28 11:09 . 2001-03-19 15:25 61,952 --a------ E:\WINDOWS\ST4UNST.EXE
2008-04-28 11:09 . 2001-03-19 15:25 35,136 --a------ E:\WINDOWS\system32\VB4FR32.DLL
2008-04-28 11:09 . 2008-04-28 11:09 8,192 --a------ E:\WINDOWS\system32\dmfafr51.ocy
2008-04-28 11:09 . 2008-04-28 11:11 4,096 --a------ E:\WINDOWS\system32\dmfafr51.dly
2008-04-28 11:09 . 2008-04-28 11:09 27 ---h----- E:\TraFgFr.Tra
2008-04-14 10:25 . 2008-04-14 10:25 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Hewlett-Packard
2008-04-14 10:18 . 2008-04-14 10:18 0 --a------ E:\WINDOWS\vpc32.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 19:51 --------- d-----w E:\Program Files\Symantec AntiVirus
2008-05-30 17:40 --------- d-----w E:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-27 15:16 --------- d-----w E:\Program Files\Téléchargeur de F.C. Manager 2007
2008-05-27 15:13 --------- d-----w E:\Program Files\Téléchargeur de Football Manager 2008
2008-04-25 18:58 --------- d-----w E:\Program Files\SPSS
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{686D9416-EFB4-4654-A023-C6882DF79CBA}]
2008-05-30 15:07 278528 --a------ E:\WINDOWS\system32\fccbBRif.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-19 19:09 15360]
"MsnMsgr"="E:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="E:\WINDOWS\System32\igfxtray.exe" [2004-07-01 07:02 155648]
"HotKeysCmds"="E:\WINDOWS\System32\hkcmd.exe" [2004-07-01 06:58 118784]
"ccApp"="E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-11-21 18:38 52840]
"vptray"="E:\PROGRA~1\SYMANT~1\VPTray.exe" [2007-03-14 20:49 125632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 19:09 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\Messenger\\msmsgs.exe"=
"E:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"E:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"E:\\Program Files\\Internet Explorer\\iexplore.exe"=

S3 Boonty Games;Boonty Games;"E:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2008-05-27 11:16]
S3 MBAMCatchMe;MBAMCatchMe;E:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-05-30 01:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5fdcd4e-1531-11dd-bf3b-001125f6610c}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-30 15:51:55
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\Program Files\Symantec AntiVirus\DefWatch.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Program Files\Symantec AntiVirus\Rtvscan.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Program Files\Symantec AntiVirus\DoScan.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-30 15:56:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-30 19:56:04

Pre-Run: 31,473,893,376 octets libres
Post-Run: 31,567,368,192 octets libres

141 --- E O F --- 2008-05-29 20:04:47
0
Réponse 6 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 22:45
1/ Fait analyser ceci
E:\WINDOWS\system32\810429tv4-test.jun
sur ce site et poste le rapport
https://www.virustotal.com/gui/


2/ selectionne ceci

registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{686D9416-EFB4-4654-A023-C6882DF79CBA}]


File::
E:\WINDOWS\system32\fccbBRif.dll
E:\WINDOWS\system32\byjrlgen.ini




* Copie le texte sélectionné (CTRL+C).
* Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
* Veille à ce que Retour à la ligne ne soit pas coché dans Format.
* Colle le texte copié dans ce bloc-notes (CTRL+V).
* Sauvegarde ce fichier sous le nom de CFScript.txt
* Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

@+
0
cafanada
30 mai 2008 à 23:05
la je doi partir, je v utiliser lordi lundi, je te renvoi ca un message lundi aprem apres avoir suivit t conseil a la letree
merci bcp

bon week end amuse toi bien
0
Réponse 7 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
30 mai 2008 à 23:10 
bon week end amuse toi bien


:-)) toi aussi
@+
0
Réponse 8 / 12
cafanada Messages postés 3 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 juin 2008
2 juin 2008 à 16:42
bonjour j'Espere que a passer un bon week end

voila ce ke tu ma dit de faire

1/

Fichier 810429tv4-test.jun reçu le 2007.12.15 08:58:10 (CET)
Situation actuelle: terminé
Résultat: 1/32 (3.12%)
Formaté
Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
Information additionnelle
MD5: 8ef6988e7308591b657be81353b24569
SHA1: c2edc69b3692e82f96412e267d4aff0bc1255b0c
SHA256: 11bec41d51f5539719eb6f1cbc8dff6b69b1094b7cf014d375694af4c43ef2b3
SHA512: 366a96277d595d6822698bdb66234d67948c046852533e9f4503cec9c68abdac986a45e89d581b9c38c4f1504723d9ad86480446b2c256383a65fa59476cf4d6
ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.




2/

ComboFix 08-05-29.1 - Administrateur 2008-06-02 10:22:45.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.128 [GMT -4:00]
Endroit: E:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Command switches used :: E:\Documents and Settings\Administrateur\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b/color

FILE ::
E:\WINDOWS\system32\byjrlgen.ini
E:\WINDOWS\system32\fccbBRif.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

E:\WINDOWS\BM4bbb7d07.xml
E:\WINDOWS\cookies.ini
E:\WINDOWS\pskt.ini
E:\WINDOWS\system32\anuwijqx.dll
E:\WINDOWS\system32\bwxscxfg.dll
E:\WINDOWS\system32\byjrlgen.ini
E:\WINDOWS\system32\cjajiowd.dll
E:\WINDOWS\system32\fccbBRif.dll
E:\WINDOWS\system32\fgtafnpk.ini
E:\WINDOWS\system32\fiRBbccf.ini
E:\WINDOWS\system32\fiRBbccf.ini2
E:\WINDOWS\system32\gmiaeghl.dll
E:\WINDOWS\system32\tjnhrsrs.dll
E:\WINDOWS\system32\xqjiwuna.ini

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-02 to 2008-06-02 ))))))))))))))))))))))))))))))))))))
.

2008-05-30 13:52 . 2008-05-30 13:52 <REP> d-------- E:\WINDOWS\ERUNT
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Program Files\Malwarebytes' Anti-Malware
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-30 11:24 . 2008-05-30 11:24 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-05-30 11:24 . 2008-05-30 01:06 34,296 --a------ E:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-30 11:24 . 2008-05-30 01:06 15,864 --a------ E:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 10:26 . 2008-05-30 10:26 <REP> d-------- E:\Documents and Settings\All Users\Application Data\Yahoo! Companion
2008-05-30 10:24 . 2008-05-30 10:24 <REP> d-------- E:\Program Files\AxBx
2008-05-30 10:20 . 2008-05-30 10:20 <REP> d-------- E:\Program Files\Yahoo!
2008-05-30 10:20 . 2008-05-30 10:21 <REP> d-------- E:\Program Files\CCleaner
2008-05-29 16:03 . 2008-05-29 16:03 <REP> dr------- E:\Documents and Settings\LocalService\Favoris
2008-05-27 13:38 . 2008-05-27 13:38 <REP> d-------- E:\Documents and Settings\All Users\Application Data\TVU Networks
2008-05-27 13:38 . 2008-05-27 13:38 <REP> d-------- E:\Documents and Settings\Administrateur\LocalLow
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Program Files\T‚l‚chargeur de F.C. Manager 2007
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Program Files\Fichiers communs\BOONTY Shared
2008-05-27 11:16 . 2008-05-27 11:16 <REP> d-------- E:\Documents and Settings\All Users\Application Data\BOONTY
2008-05-27 11:13 . 2008-05-27 11:13 <REP> d-------- E:\Program Files\T‚l‚chargeur de Football Manager 2008
2008-05-27 11:13 . 2008-05-27 11:13 <REP> dr-h----- E:\Documents and Settings\Administrateur\Application Data\SecuROM
2008-05-27 11:13 . 2008-05-27 11:13 107,888 --a------ E:\WINDOWS\system32\CmdLineExt.dll
2008-05-27 11:12 . 2008-05-27 11:13 <REP> d-------- E:\Program Files\BoontyGames
2008-05-27 11:12 . 2008-05-27 11:12 <REP> d-------- E:\Program Files\Boonty
2008-05-27 10:30 . 2008-05-27 10:30 <REP> d-------- E:\Program Files\Online TV Player 4
2008-05-27 10:30 . 2008-05-27 10:30 10 --a------ E:\WINDOWS\system32\810429tv4-test.jun
2008-05-22 15:11 . 2008-05-22 15:11 <REP> d-------- E:\Program Files\ZikiTranslator
2008-05-06 08:44 . 2008-05-06 08:44 0 --a------ E:\WINDOWS\nsreg.dat
2008-05-02 08:35 . 2008-05-02 11:51 <REP> d-------- E:\Documents and Settings\Administrateur\Application Data\U3
2008-05-02 08:26 . 2008-05-02 08:26 <REP> d-------- E:\Program Files\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 14:28 --------- d-----w E:\Program Files\Symantec AntiVirus
2008-06-02 14:07 --------- d-----w E:\Documents and Settings\All Users\Application Data\Google Updater
2008-05-27 15:16 --------- d-----w E:\Program Files\Téléchargeur de F.C. Manager 2007
2008-05-27 15:13 --------- d-----w E:\Program Files\Téléchargeur de Football Manager 2008
2008-04-28 18:46 --------- d-----w E:\Program Files\Windows Live
2008-04-28 18:45 --------- dcsh--w E:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-04-28 18:45 --------- d-----w E:\Documents and Settings\All Users\Application Data\WLInstaller
2008-04-25 18:58 --------- d-----w E:\Program Files\SPSS
2008-04-14 14:25 --------- d-----w E:\Documents and Settings\All Users\Application Data\Hewlett-Packard
2008-03-25 04:51 621,344 ----a-w E:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w E:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,376 ----a-w E:\WINDOWS\system32\win32k.sys
2008-03-05 16:08 48,768 ----a-w E:\WINDOWS\system32\S32EVNT1.DLL
2008-03-04 22:52 286,720 ----a-w E:\WINDOWS\system32\libcurl.dll
.

((((((((((((((((((((((((((((( snapshot@2008-05-30_15.55.39.78 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-30 19:51:16 2,048 --s-a-w E:\WINDOWS\bootstat.dat
+ 2008-06-02 14:26:56 2,048 --s-a-w E:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4


voila j'attend ta reponse merci
0
Réponse 9 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
2 juin 2008 à 19:18
Bonsoir

refais un nouveaus HijacThis stp
@+
0
cafanada Messages postés 3 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 juin 2008
2 juin 2008 à 20:22
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:27, on 02/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Symantec AntiVirus\DefWatch.exe
E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\WINDOWS\System32\igfxtray.exe
E:\WINDOWS\System32\hkcmd.exe
E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
E:\PROGRA~1\SYMANT~1\VPTray.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
E:\Program Files\Symantec AntiVirus\Rtvscan.exe
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\explorer.exe
C:\Novell\GroupWise\grpwise.exe
E:\Program Files\Windows Live\Messenger\usnsvc.exe
E:\Program Files\internet explorer\iexplore.exe
E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\Documents and Settings\Administrateur\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] E:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] E:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] E:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "E:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{06B98D5E-E4B6-4019-A4AE-C1E6F168F60B}: NameServer = 142.51.1.52,142.51.1.53
O23 - Service: Boonty Games - BOONTY - E:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - E:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - E:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SAVRoam (SavRoam) - symantec - E:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - E:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - E:\Program Files\Symantec AntiVirus\Rtvscan.exe
0
Réponse 10 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
2 juin 2008 à 20:38
1/ Relance hijack et clique sur "Do a system scan only"
Ensuite recherche ces lignes et coches les cases

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O23 - Service: Boonty Games - BOONTY - E:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe


Ensuite clique sur "Fix checked"

2/ fait un scan en ligne

avec bitdefender et colle le rapport

https://www.bitdefender.com/toolbox/

Scan à faire sous Internet Explorer

un tuto
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

@+
0
cafanada Messages postés 3 Date d'inscription lundi 2 juin 2008 Statut Membre Dernière intervention 2 juin 2008
2 juin 2008 à 21:53
BitDefender Online Scanner



Scan report generated at: Mon, Jun 02, 2008 - 15:51:38





Scan path: A:\;C:\;D:\;E:\;







Statistics

Time
00:26:43

Files
120717

Folders
2360

Boot Sectors
3

Archives
1165

Packed Files
7858




Results

Identified Viruses
1

Infected Files
3

Suspect Files
0

Warnings
0

Disinfected
0

Deleted Files
6




Engines Info

Virus Definitions
1255704

Engine build
AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Scan plugins
16

Archive plugins
42

Unpack plugins
7

E-mail plugins
6

System plugins
5




Scan Settings

First Action
Disinfect

Second Action
Delete

Heuristics
Yes

Enable Warnings
Yes

Scanned Extensions
*;

Exclude Extensions


Scan Emails
Yes

Scan Archives
Yes

Scan Packed
Yes

Scan Files
Yes

Scan Boot
Yes




Scanned File
Status

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08700000\48706CA5.VBN=>(Quarantine-PE)
Infected with: Trojan.LowZones.SG

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\08700000\48706CA5.VBN=>(Quarantine-PE)
Deleted

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0B280000\4B685216.VBN=>(Quarantine-PE)
Infected with: Trojan.LowZones.SG

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0B280000\4B685216.VBN=>(Quarantine-PE)
Deleted

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0B800000\4BC3FED3.VBN=>(Quarantine-PE)
Infected with: Trojan.LowZones.SG

E:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0B800000\4BC3FED3.VBN=>(Quarantine-PE)
Deleted




voilaaaaaa
@+
0
Réponse 11 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
2 juin 2008 à 21:58
Maintenant que ton PV n'est plus infecté

ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.Il te servira à supprimer les outils que nous avons utilisé.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe

Double clique sur ToolsCleaner2.exe >
puis Recherche
et sur Suppression
Note : ton bureau va disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau



ensuite fait ceci (IMPORTANT)

=démarrer
=panneau de configuration
=système
=onglet Restauration système
=coche la case (Désactiver la restauration système)
=redémarre l'ordinateur
=réactive la ensuite



Dénonce ton infection pour faire condamner les auteurs

Vous avez été victime d'une infection, et vous avez été aidé par un site comme CommentCaMarche.net ou autre pour vous faire désinfecter, alors ce paragraphe s'adresse à vous !

Nous vous invitons à créer un message pour faire avancer les choses sur le site Malware-Complaints, plus vous serez nombreux à dénoncer votre infection, et plus nous aurons de chance de voir les choses bouger !


* Voir les règles du forum
* Après s'être enregistré à l'aide du bouton en haut se nommant Register, choisissez votre situation :
**Si vous avez plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
**Si vous avez moins, clique sur : "I Agree to these terms and am under 13 years of age"
*Vous avez alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..), il vous suffit d'ajouter votre voix !
*Si le malware dont vous avez été victime n'apparait pas dans la liste, ou si vous ne savez pas par quoi vous avez été infecté(e), créez un message dans le sujet Autres infections conforme aux règles du forum (âge, ville, département etc..)
*Indiquez aussi le nom du Forum qui vous a aidé à vous désinfecter

bye
0
cafanada
3 juin 2008 à 18:52
ok c fait

merci bcp pour ton temps et ta patience, très sympas

bonne continuation byee bye
0
Réponse 12 / 12
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
3 juin 2008 à 21:25
Bye ;-)
0

Discussions similaires

Analyse des logs hijackthis
philnoug -
nayas13 -

35 réponses
Hijackthis pour Android mobile
Sartuplady -
le druide -

3 réponses
interprêté mon hijackthis svp
kevmurray -
plopus -

11 réponses
HIJACKTHIS tutorial
CHUNKY -
Fox-Winsax -

3 réponses
Analyse rapport Hijackthis
Utilisateur anonyme -
Malekal_morte- -

20 réponses