Logiciel pub - rapport HijackthisRésolu/Fermé

Question

Bonjour,

Je n'arrive pas à me débarrasser d'un logiciel publicitaire malgré l'installation de Kaspersky anti-virus et le firewall Sunbelt (installés après le pb, je sais c'est pas bien). 

Sunbelt indique une injection de code à partir de rundll32.exe mais Kaspersky ne trouve rien. 

J'ai essayé de sauvegarder ma base de registre en vue de modifs ultérieures mais j'ai le message : "la modif du registre a été désactivée par votre administrateur". 

Un grand merci par avance pour votre aide !!!

***

Logfile of HijackThis v1.99.1
Scan saved at 22:16:04, on 30/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\WINDOWS\system32\STacSV.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\sttray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Hijackthis Version Française\VERSION TRADUITE ORIGINALE.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=explorer.exe                                                                                                                                                                                                                                          "C:\Program Files\Common Files\System\svchost.exe"
O2 - BHO: (no name) - {203A779B-4684-4C11-8A97-64300785B729} - C:\WINDOWS\system32\wvUkliIB.dll
O2 - BHO: (no name) - {9FB3EDF7-EAC2-4489-96AE-C943720B9C29} - C:\WINDOWS\system32\jkkHbbCV.dll (file missing)
O2 - BHO: {c1de8959-cfa7-bddb-5fd4-3d39c7cd34eb} - {be43dc7c-93d3-4df5-bddb-7afc9598ed1c} - C:\WINDOWS\system32\jyiwlxva.dll
O2 - BHO: (no name) - {F9DF827A-8FA7-48A3-B268-CA4DB563EA40} - C:\WINDOWS\system32\khfEtqpq.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Christophe\cftmon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [a4de167a] rundll32.exe "C:\WINDOWS\system32\qhfvonju.dll",b
O4 - HKLM\..\Run: [BMa7ed25e6] Rundll32.exe "C:\WINDOWS\system32\xpeopvtt.dll",s
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ateo] "C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" -vt yazb
O4 - Startup: update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: update.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://chrisvoyages.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O20 - Winlogon Notify: khfEtqpq - C:\WINDOWS\SYSTEM32\khfEtqpq.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Lyonnais92 · Answer

Bonsoir,

Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Lyonnais92 · Answer

Bonjour,

il reste encore pas mal de choses.


1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

_____________________

Désinstalle ta version de Hijackthis qui est obsolète (panneau de configuration, Ajout/suppression de programmes)

et fais ça :

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"



Ferme Hijackthis en cliquant sur la croix-rouge.

Télécharge DSS (Deckard's System Scanner de Deckard) sur ton Bureau à partir de ce lien :

http://www.techsupportforum.com/sectools/Deckard/dss.exe

Choisis "Enregistrer" et "Bureau" comme emplacement.

Ferme toutes les applications en cours (très important, sinon l'ordi peut planter).

Double-clique sur DSS.exe pour lancer l'outil.

S'il ne trouve pas HijackThis, clique sur Oui.

Clique sur OK à chaque fois que cela sera demandé.

L'analyse finie, un fichier texte s'affichera. Poste son contenu dans ta réponse.
 
Le rapport se trouve ici : C:\Deckard\System Scanner\main.txt.

Drogo75 · Answer

Bonjour, voici les rapports en-dessous.
C'est pas vrai j'ai encore des pop-up ! Mais deux sur trois n'ont pu s'afficher, y'avait juste la fenêtre vide.
Et le firewall m'a envoyé le msg suivant :

"[01/06/2008 15:47:17]

Direction: sortant
Point local: 82.124.40.42, port 1715
Matériel: N/A
Point distant: 212.27.35.13 [212.27.35.13], port http [80]
Protocole: TCP

Fichier: System
Description: system
Version: 
Créé le: N/A
Modifié le: N/A
Accédé le: N/A
RuleId = 1140850709"

Et j'ai eu 2 msgs bizarres au redémarrage :

"L'application ou la DLL C:\Windows\system32\khEtqpq.dll n'est pas une image Windows valide. Vérifiez avec votre disquette d'installation."

"Erreur de chargement de C:\windows\system32\bwodvovn.dll"


1er rapport : 
 
alwarebytes' Anti-Malware 1.14
Version de la base de données: 800

15:03:28 01/06/2008
mbam-log-6-1-2008 (15-03-28).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 226725
Temps écoulé: 1 hour(s), 2 minute(s), 12 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 12
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\khfEtqpq.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\wvUkliIB.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfetqpq (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoftdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{828a3764-8119-4912-bc24-1f60f2d1f16e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{828a3764-8119-4912-bc24-1f60f2d1f16e} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f9df827a-8fa7-48a3-b268-ca4db563ea40} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a4de167a (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BMa7ed25e6 (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\wvukliib  -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\khfEtqpq.dll (Trojan.Vundo) -> Delete on reboot.
C:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\CXEF4XMJasesnet[1].exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Christophe\Local Settings\Temporary Internet Files\Content.IE5\K92FWL2B\kb713501[1] (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aocqdopq.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lkiuevxs.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
lfcifpu.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
rgyanyg.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sahqiier.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xenxsttd.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\bwoduovn.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\wvUkliIB.dll (Trojan.Vundo) -> Delete on reboot.


2e rapport :

Deckard's System Scanner v20071014.68
Run by Christophe on 2008-06-01 15:14:04
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 2 Restore Point(s) --
2: 2008-06-01 13:14:06 UTC - RP2 - Deckard's System Scanner Restore Point
1: 2008-05-30 23:55:32 UTC - RP1 - Point de vérification système

Backed up registry hives.
Performed disk cleanup.

-- HijackThis (run as Christophe.exe) ------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:14:30, on 01/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\sttray.exe
C:\WINDOWS\system32\STacSV.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Documents and Settings\Christophe\Bureau\dss.exe
C:\PROGRA~1\HIJACK~1\Christophe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: {1ae27ffa-5191-e6ca-a334-dd4fbb3f8aa9} - {9aa8f3bb-f4dd-433a-ac6e-1915aff72ea1} - C:\WINDOWS\system32\wulvmivo.dll
O2 - BHO: (no name) - {9FB3EDF7-EAC2-4489-96AE-C943720B9C29} - C:\WINDOWS\system32\jkkHbbCV.dll (file missing)
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ateo] "C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" -vt yazb
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: update.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://chrisvoyages.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Lyonnais92 · Answer

Re,

redémarre l'ordi pour finir le travail de MBAM.

reste à l'écoute, il y aura encore des choses  à faire.

Drogo75 · Answer

Ça y est, je t'écoute.

Lyonnais92 · Answer

Re,

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Drogo75 · Answer

Bonjour Lyonnais,

Alors ça s'est pas super bien passé. Après un temps j'ai eu un écran bleu avec 
" Un pb a été detecté et W a été arrêté afin de prévenir tt dommage.

Etc etc, 

Infos techniques :
STOP : Ox0000008E (avec 4 codes compliqués, si tu veux je te les donnes)
Khips.sys adress AD66F75B base at AD66D000 datestamp 4624d391

J'ai redémarré à la sauvage, apparemment tt va bien et je trouve le rapport de Combo :

ComboFix 08-06-01.3 - Christophe 2008-06-02 14:31:31.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.1669 [GMT 2:00]
Endroit: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe
 * Création d'un nouveau point de restauration


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Christophe\Application Data\MBOLS~1
C:\WINDOWS\BMa7ed25e6.xml
C:\WINDOWS\fnts~1
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\aqgolnyi.dll
C:\WINDOWS\system32\BIilkUvw.ini
C:\WINDOWS\system32\BIilkUvw.ini2
C:\WINDOWS\system32\bvxynmrm.dll
C:\WINDOWS\system32\bwoduovn.dll
C:\WINDOWS\system32\dpmodwxn.dll
C:\WINDOWS\system32\dttsxnex.ini
C:\WINDOWS\system32\dxvqehet.dll
C:\WINDOWS\system32\jyiwlxva.dll
C:\WINDOWS\system32\khfEtqpq.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\odyqhrcf.ini
C:\WINDOWS\system32\qebfkdte.ini
C:\WINDOWS\system32\ujnovfhq.ini
C:\WINDOWS\system32\VCbbHkkj.ini
C:\WINDOWS\system32\VCbbHkkj.ini2
C:\WINDOWS\system32\wulvmivo.dll
C:\WINDOWS\system32\wvUkliIB.dll
C:\WINDOWS\system32\wxtfyvod.dll
C:\WINDOWS\system32\xenxsttd.dll
C:\WINDOWS\system32\xpeopvtt.dll

.
(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-05-02 to 2008-06-02  ))))))))))))))))))))))))))))))))))))


ça n'a toujours pas l'air d'être totalement bon puisque Wanadoo s'est lancé tt seul au démarrage, ce qui n'est pas normal et j'ai eu le msg suivant de Sunbelt : 

[2008-06-02 15:06]
Direction: sortant
Point local: 86.217.66.125, port 1067
Matériel: N/A
Point distant: 85.12.57.81 [85.12.57.81], port http [80]
Protocole: TCP

Ceci dit ça va de mieux en mieux pour la navigation.
A toutes fins utiles, je te précise que depuis la précédente manip certaines animations publicitaires sont bloquées sur les pages internet avec la mention "ad blocked here by SPF". Ce qui m'arrange a priori.
A l'écoute de tes précieux conseils !

Lyonnais92 · Answer

Bonjour,

à mon avis, tu as fait tourner Combofix avec Kerio en activité.

Alors que j'avais écrit : 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 

Bon l'ordi est reparti.

Par contre le rapport est très incomplet.

Si c'est tout ce que tu as, fait tourner ComboFix de nouveau mais en respectant strictement mes consignes.

Et poste le rapport.

Drogo75 · Answer

Pardon mais comment tu déconnecte Kerio ? J'ai fait ctrl+alt+supr il n'y avait pas d'applications en activité et j'ai regardé le centre de sécurité Win qui indiquait que tout était désactivé. 

Je viens d'avoir un msg de Sunbelt qui m'indique que le fichier svchost.exe qui avait été mis en 40aine était sain et me demandait si je voulais le réactiver. Par prudence j'ai choisi "ignorer".

Lyonnais92 · Answer

Re,

un clic droit sur l'icone de Kerio ne donne pas accès à un menu "arrêter".

Drogo75 · Answer

Mais en fait c'est quoi Kerio ? Moi j'ai, en logiciels de sécurité :

Sunbelt en firewall
Kaspersky en anti-virus

Et ce que tu m'as fais charger :
Malwarebytes' Anti-Malware
HijackThis.
Deckard's System Scanner

En cliquant droit sur leurs icônes je n'ai pas "arrêter".

Lyonnais92 · Answer

Bonjour,

Sunbelt = Kerio

Drogo75 · Answer

Bonjour, voici le rapport : ComboFix 08-06-01.3 - Christophe 2008-06-04 16:05:02.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1681 [GMT 2:00] Endroit: C:\Documents and Settings\Christophe\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\Documents and Settings\Christophe\Application Data\MBOLS~1 C:\WINDOWS\BMa7ed25e6.xml C:\WINDOWS\fnts~1 C:\WINDOWS\pskt.ini C:\WINDOWS\system32\aqgolnyi.dll C:\WINDOWS\system32\BIilkUvw.ini C:\WINDOWS\system32\BIilkUvw.ini2 C:\WINDOWS\system32\bvxynmrm.dll C:\WINDOWS\system32\bwoduovn.dll C:\WINDOWS\system32\dpmodwxn.dll C:\WINDOWS\system32\dttsxnex.ini C:\WINDOWS\system32\dxvqehet.dll C:\WINDOWS\system32\jyiwlxva.dll C:\WINDOWS\system32\khfEtqpq.dll C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\system32\odyqhrcf.ini C:\WINDOWS\system32\qebfkdte.ini C:\WINDOWS\system32\ujnovfhq.ini C:\WINDOWS\system32\VCbbHkkj.ini C:\WINDOWS\system32\VCbbHkkj.ini2 C:\WINDOWS\system32\wulvmivo.dll C:\WINDOWS\system32\wvUkliIB.dll C:\WINDOWS\system32\wxtfyvod.dll C:\WINDOWS\system32\xenxsttd.dll C:\WINDOWS\system32\xpeopvtt.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))))))) . 2008-06-04 03:57 . 2008-06-04 13:29 38 --a------ C:\WINDOWS\avisplitter.INI 2008-06-01 15:13 . 2008-06-01 15:13 d-------- C:\Deckard 2008-06-01 13:47 . 2008-06-01 13:47 d-------- C:\Documents and Settings\Christophe\Application Data\Malwarebytes 2008-06-01 13:46 . 2008-06-01 13:47 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-06-01 13:46 . 2008-06-01 13:46 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-01 13:46 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-01 13:46 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-31 01:42 . 2008-05-31 01:42 d-------- C:\WINDOWS\ERUNT 2008-05-31 01:27 . 2008-05-31 02:39 d-------- C:\SDFix 2008-05-30 21:16 . 2008-06-04 12:39 49,655 --a------ C:\WINDOWS\system32\drivers\fwdrv.err 2008-05-30 20:17 . 2008-05-30 20:17 d-------- C:\Program Files\Sunbelt Software 2008-05-29 23:52 . 2008-05-29 23:52 0 --a------ C:\WINDOWS sreg.dat 2008-05-29 04:43 . 2008-05-29 04:43 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-05-29 03:17 . 2008-05-30 12:42 d-------- C:\WINDOWS\Internet Logs 2008-05-28 08:43 . 2008-05-28 08:43 d-------- C:\Program Files\Kaspersky Lab 2008-05-28 08:43 . 2008-06-04 16:02 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-05-28 08:43 . 2008-06-04 16:08 7,402,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-05-28 08:43 . 2008-06-04 16:00 99,956 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-05-28 08:43 . 2008-06-04 16:08 98,080 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-05-28 08:43 . 2008-05-28 23:23 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-05-28 08:43 . 2008-05-29 21:33 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-05-28 08:43 . 2008-06-04 16:00 10,100 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-05-27 21:52 . 2008-05-27 21:52 d-------- C:\Documents and Settings\Administrateur\Application Data\Media Player Classic 2008-05-27 21:04 . 2008-05-27 21:04 d-------- C:\Documents and Settings\Administrateur\Application Data\DivX 2008-05-27 13:49 . 2008-02-23 04:36 d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau 2008-05-27 13:49 . 2008-02-23 04:36 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-05-27 13:49 . 2008-02-22 21:50 d--h----- C:\Documents and Settings\Administrateur\Modèles 2008-05-27 13:49 . 2008-05-27 21:17 d-------- C:\Documents and Settings\Administrateur\Mes documents 2008-05-27 13:49 . 2008-02-23 04:36 dr------- C:\Documents and Settings\Administrateur\Menu Démarrer 2008-05-27 13:49 . 2008-02-23 04:36 d-------- C:\Documents and Settings\Administrateur\Favoris 2008-05-27 13:49 . 2008-02-23 04:36 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-05-27 13:49 . 2008-05-31 01:51 d-------- C:\Documents and Settings\Administrateur 2008-05-27 11:25 . 2008-05-27 14:34 915 --a------ C:\WINDOWS\wininit.ini 2008-05-27 10:56 . 2008-05-28 09:46 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-05-26 19:54 . 2008-05-26 19:54 d-------- C:\Program Files\Common Files 2008-05-26 06:09 . 2008-05-29 00:01 d-------- C:\Program Files\Google 2008-05-26 01:42 . 2008-05-28 08:57 13,502 --a------ C:\WINDOWS\system32\JambaIconFR.ico 2008-05-26 01:42 . 2008-05-28 08:57 9,662 --a------ C:\WINDOWS\system32\ZoneAlarmIconFR.ico 2008-05-26 00:40 . 2008-05-31 02:22 d-------- C:\Temp 2008-05-18 04:16 . 2008-06-01 04:22 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-05-18 01:56 . 2008-05-18 01:56 d-------- C:\spuninst 2008-05-14 04:43 . 2005-01-28 08:53 5,525,504 --a------ C:\WINDOWS\system32\setb0.tmp 2008-05-11 07:11 . 2008-05-18 01:56 d-------- C:\Documents and Settings\Christophe\Application Data\Player Orange 2008-05-11 07:10 . 2005-01-28 13:44 142,336 --a------ C:\WINDOWS\system32\setb2.tmp . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-04 14:02 --------- d-----w C:\Program Files\Wanadoo 2008-05-28 21:23 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys 2008-04-25 13:38 --------- d-----w C:\Program Files\QuickZip4 2008-04-25 13:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip 2008-04-23 21:36 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll 2008-04-23 21:36 --------- d--h--r C:\Documents and Settings\Christophe\Application Data\SecuROM 2008-04-23 21:31 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-04-17 13:00 --------- d-----w C:\Program Files\Anno 1701 2008-04-17 12:36 --------- d-----w C:\Documents and Settings\Christophe\Application Data\CDBurnerXP_Soft 2008-04-17 12:28 --------- d-----w C:\Program Files\CDBurnerXP 2008-04-14 22:06 --------- d-----w C:\Program Files\Ubisoft 2008-03-18 04:13 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2008-03-18 04:13 249,856 ------w C:\WINDOWS\Setup1.exe 2008-03-05 15:03 479,752 ----a-w C:\WINDOWS\system32\XAudio2_0.dll 2008-03-05 15:03 238,088 ----a-w C:\WINDOWS\system32\xactengine3_0.dll 2008-03-05 15:00 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_3.dll 2008-03-05 14:56 3,786,760 ----a-w C:\WINDOWS\system32\D3DX9_37.dll 2008-03-05 14:56 1,420,824 ----a-w C:\WINDOWS\system32\D3DCompiler_37.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9FB3EDF7-EAC2-4489-96AE-C943720B9C29}] C:\WINDOWS\system32\jkkHbbCV.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LightScribe Control Panel"="C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe" [2007-04-19 14:26 484904] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [ ] "Ateo"="C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2003-05-23 09:46 20480] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2003-05-23 09:46 53248] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2003-05-23 09:46 24576] "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 13:17 61440] "SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 12:15 861184] "SigmatelSysTrayApp"="sttray.exe" [2007-05-06 11:10 405504 C:\WINDOWS\sttray.exe] "MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-04 17:47 32768] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360] C:\Documents and Settings\Christophe\Menu D‚marrer\Programmes\D‚marrage\ update.exe [2008-05-30 15:02:06 26112] C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 10:15:56 65588] update.exe [2008-05-30 15:02:06 26112] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Ubisoft\THE SETTLERS - Rise of an Empire Demo\base\bin\Settlers6Demo.exe"= "C:\Program Files\Anno 1701\Anno1701.exe"= R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 10:21] R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 10:21] R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28] S2 SPF4;Sunbelt Personal Firewall 4;"C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" [2007-04-26 10:21] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\setup.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "C:\Program Files\Fichiers communs\LightScribe\LSRunOnce.exe" . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-04 16:08:52 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-06-04 16:10:31 ComboFix-quarantined-files.txt 2008-06-04 14:10:26 Pre-Run: 452,094,275,584 octets libres Post-Run: 452,397,682,688 octets libres 167

Lyonnais92 · Answer

Bonjour,

tu remets un rapport Hijackthis et tu me dis comment va l'ordi.

Drogo75 · Answer

Ben écoute j'ai l'impression que tout va bien, depuis maintenant 2 h de surf. J'ose même plus y croire !

Et de ton côté ça te paraît bon ? 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:33:59, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\sttray.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\STacSV.exe
C:\WINDOWS\system32\CF19685.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {9FB3EDF7-EAC2-4489-96AE-C943720B9C29} - C:\WINDOWS\system32\jkkHbbCV.dll (file missing)
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ateo] "C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" -vt yazb
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: update.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: update.exe
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://chrisvoyages.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Lyonnais92 · Answer

Re,

encore des trucs.

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\CF19685.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

tu fais la même chose avec :

C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe
_________________
Imprime ces instructions car tu n'y auras pas accès durant le passage en mode sans échec.
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié dans C:\. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Drogo75 · Answer

C'est vraiment une histoire de fous ! Quand je pense que j'ai chopé ce malware sur un site grand public !


Alors SDfix je l'ai déjà, c'était ton 1er message. J'en repasserais un coup demain. 

"Send file" : j'ai "envoyer vers" mais il y a plusieurs options, c'est "media file" la bonne ?  

Mais alors je ne trouve plus smss.exe dans le dossier PATCH mais à  :

C:\WINDOWS\system32\smss.exe 

Mais effectivement ce fichier a bien existé dans ce dossier PATCH, apparu subitement quand j'eu des soucis. J'avais cru que c'était smss le virus. Le dossier bizarre a disparu maintenant. 


Et CF19685.exe n'apparaît pas dans system32 mais dans C: Combofix

Bonne fin de soirée.

Lyonnais92 · Answer

Re,

ne refais pas SDFIx.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - Startup: update.exe
O4 - Global Startup: update.exe 

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

fais redémarrer l'ordi et remets un rapport Hijackthis.

Drogo75 · Answer

Bonjour,

Voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:53:58, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\PROGRA~1\Wanadoo\CnxMon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\sttray.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\STacSV.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {9FB3EDF7-EAC2-4489-96AE-C943720B9C29} - C:\WINDOWS\system32\jkkHbbCV.dll (file missing)
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Fichiers communs\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ateo] "C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" -vt yazb
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSAG~1\Messager Wanadoo.exe
O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://chrisvoyages.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Lyonnais92 · Answer

==>Bonjour,
Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier coller de : update.exe

- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)

Drogo75 · Answer

Le voila ci-dessous. 
Il est mention de Spybot et effectivement je l'avais utilisé avant mais comme ça ne résolvait pas mon pb, je l'ai désinstallé avant de m'adresser ici.

Je ne sais pas si cet update.exe a un rapport avec le fait que les MAJ Windows ne fonctionnent pas chez moi, mais je n'ai pas essayé de les faire fonctionner avant d'avoir une machine propre

Rapport OAD : 

 05/06/2008 ---- 13:40:20,85  

----------------------------------
§§§§§§ [update.exe] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_USERS\S-1-5-21-1614895754-484763869-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"="Updater for Spybot-S&D"

[HKEY_USERS\S-1-5-21-1614895754-484763869-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Program Files\Spybot - Search & Destroy\update.exe"="External updater"

[HKEY_USERS\S-1-5-21-1614895754-484763869-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\update.exe"="update"

[HKEY_USERS\S-1-5-21-1614895754-484763869-839522115-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\Christophe\Menu Démarrer\Programmes\Démarrage\update.exe"="update"

*******************
     [Fichier] 
*******************

c:\spuninst\update\update.exe
c:\WINDOWS\$hf_mig$\KB911164\update\update.exe


*********************
     [Même date] 
*********************

[22/02/2008 ] --- REP ---> C:\Program Files\Alcatel   
[22/02/2008 ] --- REP ---> C:\Program Files\ComPlus Applications  
[22/02/2008 ] --- REP ---> C:\Program Files\InstallShield Installation Information 
[22/02/2008 ] --- REP ---> C:\Program Files\Internet Explorer  
[22/02/2008 ] --- REP ---> C:\Program Files\Messager Wanadoo  
[22/02/2008 ] --- REP ---> C:\Program Files\Messenger   
[22/02/2008 ] --- REP ---> C:\Program Files\microsoft frontpage  
[22/02/2008 ] --- REP ---> C:\Program Files\Movie Maker  
[22/02/2008 ] --- REP ---> C:\Program Files\MSN   
[22/02/2008 ] --- REP ---> C:\Program Files\MSN Gaming Zone 
[22/02/2008 ] --- REP ---> C:\Program Files\NetMeeting   
[22/02/2008 ] --- REP ---> C:\Program Files\Outlook Express  
[22/02/2008 ] --- REP ---> C:\Program Files\Uninstall Information  
[22/02/2008 ] --- REP ---> C:\Program Files\Wanadoo   
[22/02/2008 ] --- REP ---> C:\Program Files\Windows Media Player 
[22/02/2008 ] --- REP ---> C:\Program Files\Windows NT  
[22/02/2008 ] --- REP ---> C:\Program Files\WindowsUpdate   
[22/02/2008 ] --- REP ---> C:\Program Files\xerox   
[22/02/2008 ] ---> C:\AUTOEXEC.BAT   
[22/02/2008 ] ---> C:\CONFIG.SYS   
[22/02/2008 ] ---> C:\IO.SYS   
[22/02/2008 ] ---> C:\MSDOS.SYS   
[22/02/2008 ] ---> C:\WINDOWS\0.log   
[22/02/2008 ] ---> C:\WINDOWS\bootstat.dat   
[22/02/2008 ] ---> C:\WINDOWS\Bulles de savon.bmp 
[22/02/2008 ] ---> C:\WINDOWS\cmsetacl.log   
[22/02/2008 ] ---> C:\WINDOWS\control.ini   
[22/02/2008 ] ---> C:\WINDOWS\desktop.ini   
[22/02/2008 ] ---> C:\WINDOWS\DtcInstall.log   
[22/02/2008 ] ---> C:\WINDOWS\Granit vert.bmp  
[22/02/2008 ] ---> C:\WINDOWS\Jour de pˆche.bmp 
[22/02/2008 ] ---> C:\WINDOWS\KB911164.log   
[22/02/2008 ] ---> C:\WINDOWS\Mur de Santa Fe.bmp 
[22/02/2008 ] ---> C:\WINDOWS\OEWABLog.txt   
[22/02/2008 ] ---> C:\WINDOWS\Plume.bmp   
[22/02/2008 ] ---> C:\WINDOWS\REGLOCS.OLD   
[22/02/2008 ] ---> C:\WINDOWS\Rhododendron.bmp   
[22/02/2008 ] ---> C:\WINDOWS\RiviŠre Sumida.bmp  
[22/02/2008 ] ---> C:\WINDOWS\Rosace bleue 16.bmp 
[22/02/2008 ] ---> C:\WINDOWS\SchedLgU.Txt   
[22/02/2008 ] ---> C:\WINDOWS\sessmgr.setup.log   
[22/02/2008 ] ---> C:\WINDOWS\system32\access.cpl   
[22/02/2008 ] ---> C:\WINDOWS\system32\acctres.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\accwiz.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\amcompat.tlb   
[22/02/2008 ] ---> C:\WINDOWS\system32\atrace.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\avmeter.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\avtapi.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\avwav.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\bitsprx2.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\bitsprx3.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\bopomofo.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\calc.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\catsrv.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\catsrvps.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\catsrvut.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\cdmodem.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\cdplayer.exe.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\cfgbkend.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\charmap.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\clbcatex.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\clbcatq.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\clipbrd.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\cmprops.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\colbact.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\comaddin.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\comrepl.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\comsnap.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\comsvcs.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\comuid.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\CONFIG.NT   
[22/02/2008 ] ---> C:\WINDOWS\system32\dcomcnfg.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\desktop.ini   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\alcacr.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\alcan5wn.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\alcaudsl.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\alcawh.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\fltMgr.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\driversdpdr.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\driversdpwd.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers\sr.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers	dpipe.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers	dtcp.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\drivers	ermdd.sys   
[22/02/2008 ] ---> C:\WINDOWS\system32\emptyregdb.dat   
[22/02/2008 ] ---> C:\WINDOWS\system32\fltlib.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\fltMc.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\freecell.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\gb2312.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\getuname.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\hticons.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\hypertrm.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\icaapi.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\icfgnt5.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\icwdial.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\icwphbk.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\ideograf.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\ils.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\inetcfg.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\inetcomm.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\inetres.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\isign32.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\isrdbg32.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\kanji_1.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\kanji_2.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\korean.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\licwmi.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\logoff.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\logonui.exe.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\mapi32.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mmfutil.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mnmdd.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mnmsrvc.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\mplay32.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\msconf.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtc.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtclog.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtcprf.h   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtcprf.ini   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtcprx.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtctm.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msdtcuiu.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msg.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\msg723.acm   
[22/02/2008 ] ---> C:\WINDOWS\system32\msh261.drv   
[22/02/2008 ] ---> C:\WINDOWS\system32\mshearts.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\msoeacct.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\msoert2.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mspaint.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\mstask.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mstinit.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\mstsc.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\mstscax.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mtxdm.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mtxex.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mtxlegih.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\mtxoci.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32
cpa.cpl.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32
mevtmsg.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32
mmkcert.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32
scompat.tlb   
[22/02/2008 ] ---> C:\WINDOWS\system32
wc.cpl.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\qappsrv.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\qmgr.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\qmgrprxy.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\qprocess.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\qwinsta.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32acpldlg.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32dchost.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32dpcfgex.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32dpclip.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32dpsnd.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32dpwsx.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32dsaddin.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32dshost.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32egini.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32emotepg.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32eset.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32winsta.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\safrcdlg.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\safrdm.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\safrslv.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\sapi.cpl.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\schedsvc.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\servdeps.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\sessmgr.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\shadow.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\shiftjis.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32\sndrec32.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\sndvol32.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\sol.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\spider.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\srclient.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\srrstr.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\srsvc.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\stci.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\stclient.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\subrange.uce   
[22/02/2008 ] ---> C:\WINDOWS\system32	ermsrv.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32	scfgwmi.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32	scon.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32	scupgrd.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32	sdiscon.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32	skill.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32	slabels.h   
[22/02/2008 ] ---> C:\WINDOWS\system32	slabels.ini   
[22/02/2008 ] ---> C:\WINDOWS\system32	sshutdn.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\usrlogon.cmd   
[22/02/2008 ] ---> C:\WINDOWS\system32\winchat.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\WindowsLogon.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\winmine.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\wmimgmt.msc   
[22/02/2008 ] ---> C:\WINDOWS\system32\WooDial2000.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\write.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuapi.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuauclt.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuauclt1.exe   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuaucpl.cpl   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuaucpl.cpl.manifest   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuaueng.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuaueng1.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuauserv.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wucltui.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wups.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\wuweb.dll   
[22/02/2008 ] ---> C:\WINDOWS\system32\xolehlp.dll   
[22/02/2008 ] ---> C:\WINDOWS\Tasse … caf‚.bmp 
[22/02/2008 ] ---> C:\WINDOWS\vb.ini   
[22/02/2008 ] ---> C:\WINDOWS\vbaddin.ini   
[22/02/2008 ] ---> C:\WINDOWS\Vent de prairie.bmp 
[22/02/2008 ] ---> C:\WINDOWS\WindowsShell.Manifest   
[22/02/2008 ] ---> C:\WINDOWS\WindowsUpdate.log   
[22/02/2008 ] ---> C:\WINDOWS\winnt.bmp   
[22/02/2008 ] ---> C:\WINDOWS\winnt256.bmp   
[22/02/2008 ] ---> C:\WINDOWS\wmsetup.log   
[22/02/2008 ] ---> C:\WINDOWS\WMSysPr9.prx   
[22/02/2008 ] ---> C:\WINDOWS\Zapotec.bmp   


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

Drogo75 · Answer

Autre chose. Quand je vois ça :
http://chrisvoyages.spaces.live.com/PhotoUpload/MsnPUpld.cab 

ça me fait penser que mes problèmes ont commencé au moment où j'ai téléchargé leur module pour ajouter des photos sur mon blog. 
Je ne sais pas ce que tu en penses...

Lyonnais92 · Answer

Re,

fais ça :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\update.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Drogo75 · Answer

Bonsoir,

Je le trouve pas ni dans les 2 autres comptes (Christophe et admin). L'option "cacher les fichiers systèmes" est décochée et ça donne rien non plus quand je copie-colle le nom du fichier dans la fenêtre de Totalvirus.

Lyonnais92 · Answer

Re,

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant


Ta version de Kaspersky comporte un parefeu ?

Si oui il est activé ou désactivé ?

Drogo75 · Answer

Non pour les deux :

- le dossier PPATCH (on en avait déjà parlé) a été supprimé depuis déjà qq jours (par l'un de tes outils je pense)
- j'ai Kaspersky anti-virus pas la suite sécurité internet


Allez bonne nuit et désolé de te filer du fil à retordre, bien malgré moi !

Lyonnais92 · Answer

Bonjour,

alors on en termine.

Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {9FB3EDF7-EAC2-4489-96AE-C943720B9C29} - C:\WINDOWS\system32\jkkHbbCV.dll (file missing)
O4 - HKCU\..\Run: [Ateo] "C:\DOCUME~1\CHRIST~1\MESDOC~1\PPATCH~1\smss.exe" -vt yazb

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.
____________

Mets à jour Internet Explorer
____________

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.

http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Drogo75 · Answer

Salut,

Le rapport :

-->- Recherche: 

C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Christophe\Bureau\Dss.exe: trouvé !
C:\Documents and Settings\Christophe\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Christophe\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Christophe\Mes documents\Mes logiciels\Navilog1.exe: trouvé !
C:\Documents and Settings\Christophe\Recent\HijackThis.lnk: trouvé !
C:\Program Files\HijackThis: trouvé !
C:\Program Files\HijackThis\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Christophe\Bureau\Dss.exe: supprimé !
C:\Documents and Settings\Christophe\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Christophe\Bureau\ComboFix.exe: supprimé !
C:\Documents and Settings\Christophe\Mes documents\Mes logiciels\Navilog1.exe: supprimé !
C:\Documents and Settings\Christophe\Recent\HijackThis.lnk: supprimé !
C:\Program Files\HijackThis\HijackThis.exe: supprimé !
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\HijackThis: supprimé !

Lyonnais92 · Answer

Bonjour,

tu supprimes ToolsCleaner sur ton Bureau et C:\Tcleaner.txt.

Fini.

________

Je mets le post en résolu.

Mais tu le réouvres si nécessaire

Bon surf.

Drogo75 · Answer

Merci infiniment !

J'ai juste un truc : une tentative de connexion sortante d'une appli inconnue. Sunbelt me dit :

[06/06/2008 23:55:47]
Direction: sortant
Point local: 82.120.64.27, port 1051
Matériel: N/A
Point distant: 85.12.57.81 [85.12.57.81], port http [80]
Protocole: TCP

Je l'empêche et il ne se passe rien. ça peut être encore un spyware ou maintenant tt est nettoyé sûr ?

Lyonnais92 · Answer

Bonsoir,

ton destinataire est Euroaccess.

Sais tu quel programme cherche à communiquer ?

Drogo75 · Answer

Non, sunbelt ne l'indique pas. Il y a une icône d'un programme mais anonyme. Et Euroaccess est inconnu au bataillon. J'ai regardé sur Google, cette entité-là ne me paraît pas bien claire, genre compte aux îles Caïmans. 

Juste avant la dernière étape, j'avais eu aussi une tentative de connexion extérieure, origine anonyme mais le destinataire était paypal et là c'est sûr que c'était un spyware. Je ne l'ai pas revu depuis le dernier redémarrage après la mise à jour Windows., mais je crains qu'il y ait un rapport avec EuroAccess et autres baigneurs.

Question : si j'autorise ces connexions suspectes, ça aiderait à trouver la source ou alors il ne faut surtout pas le faire ?

Lyonnais92 · Answer

Bonjour,

non, il ne faut surtout pas le faire.

Tu bloques.

Tu as créé une règle pour bloquer l'IP ?

Drogo75 · Answer

Bonjour,

Non, ne sachant pas si c'est normal ou pas. 
Là au démarrage je viens d'en avoir un autre, avec l'icône d'un programme mais identifié "system" : 

[07/06/2008 14:38:39]
Direction: sortant
Point local: 90.2.116.207, port 1231
Matériel: N/A
Point distant: 213.199.167.250 [213.199.167.250], port https [443]
Protocole: TCP

J'ai regardé sur http://outils-rezo.info/ et apparemment c'est adressé à Microsoft, donc sans doute normal quoique je vois pas très bien pourquoi...

Pour arrêter de t'embêter et clore le fil, quelle règle appliquer ? Je pensais à : 

- vérifier l'adresse IP
- créer une règle OK pour Microsoft et refuser pour toutes les autres

J'ai bon ?

Lyonnais92 · Answer

Re,

tu as bien positionné "autres programmes" sur "demander" ?

si oui, il me semble que tu dois avoir le nom du programme qui demande à envoyer des informations.

Pour tout te dire, il circule l'idée que si le parefeu de Microsoft ne contrôle pas les connexions sortantes, c'est que cela permet à Microsoft d'avoir des informations en provenance des ordis.

Il me semble que les seuls programmes autorisés à "parler" à Microsoft sont les programmes de vérification automatique des mises à jour.

Pour le reste, bloque. Tu verras bien si cela a des effets négatifs. A ce moment là, autorise.

Drogo75 · Answer

Je ne sais pas où régler la position "autres programmes" sur "demander". ça m'évoque rien et le mode d'emploi est en anglais, je maîtrise très peu. 
J'ai parfois le nom du programme en clair, comme sunbelt ou microsoft ou IE avec l'icone qui va bien, mais pas toujours. Des fois anonyme avec juste une adresse IP, des fois avec des trucs genre "generic host process", qui me renseignent pas plus.

Les programmes de vérification automatique des mises à jour ont des noms qui ressemblent à quoi ? L'info est quelque part sur le site Microsoft ? 

 
Tiens, une tentative de connexion entrante par 
CHINANET JIANGSU  !!! 
Bon, rien d'étonnant remarque.

Lyonnais92 · Answer

Re,

le mieux que je puisse faire est de t'envoyer ici :

http://kerio.probb.fr/logiciels-et-tutoriels-f6/tutoriel-kerio-42-pare-feu-firewall-t201.htm

le tuto est très bien fait et il a des illustrations. Ca devrait beaucoup t'aider.

en particulier, sur les alertes, tu dois avoir le nom du programme.

Même si il est ésotérique pour toi, j'ai de bonnes chances de trouver à quoi il correspond.

Drogo75 · Answer

OK j'ai compris, merci pour le tuto.

Est-ce que tu vois l'image :

http://imageshack-france.com/out.php/i119271_Sunbelt060608.JPG

2 trucs bizarres, un "pem" que je trouve pas en utilisant la recherche et un autre programme non renseigné... 
Sinon je vais virer Mozilla, maintenant que ça va avec IE.

Lyonnais92 · Answer

Re,

ouvre ce lien :

https://www.virscan.org/

clique sur Parcourir, cherche c:\pem

Clique sur envoyer.

Donne moi le résultat.

Je n'utilise pas ce scanner multiple mais les autres ont des problèmes.

Pour celui qui n'a pas de nom, tu interdit tout.


Je te conseille d'utiliser préférentiellement Firefox dont la sécurité est meilleure et de ne garder IE que pour les mises à jour de Windows et les applications nécessitant un ActiveX.

Drogo75 · Answer

Je le trouve pas sur ma machine. Il se pourrait que Sunbelt garde la trace de programmes ayant tenté une connexion même s'ils ont été supprimés ? 

Enfin je pense que ça devrait être bon maintenant, je commence à m'y repèrer. 

Un dernier truc : j'avais mis en veille et j'ai eu un écran bleu au redémarrage "driver IRQL not less or equal". J'ai déjà eu cet écran mais il me semble que c'était avant la MAJ Windows. Lorsque ça m'était arrivé j'avais plein d'appli ouvertes, alors peut-être que mon PC n'aime pas trop ça ni la mise en veille ?

Lyonnais92 · Answer

Bonjour,

oui je pense que c'est possible.

Par contre, si tes écrans bleus reviennent, il faudra que tu choisisses Zone Alarm à la place de Kerio.

Il est parfois incompatible avec la config.

Drogo75 · Answer

Merci infiniment pour tout, Lyonnais92, tu m'a retiré une sacrée épine du pied !

Ciao

Lyonnais92 · Answer

Re,

de rien pour l'aide.

Logiciel pub - rapport Hijackthis

43 réponses

Discussions similaires

Newsletters