probleme avec winspywareproject Résolu/Fermé

Question

Bonjour,
comme beaucoup de monde, j'ai été infecté par WinSpywareProject et donc apres avoir lut de nombreux messages, j'ai vu qu'il fallait faire notre propre topic. 
Donc j'aimerais avoir de l'aide afin de pouvoir me debarasser de ce probleme.

Voici le rapport fait avec hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:04:07, on 16/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\aol\1177233006\ee\aolsoftware.exe
C:\Windows\system32	askeng.exe
C:\Windows\System32undll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\Windows\System32undll32.exe
C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder	bFree.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\Benji\AppData\Local\Temp\ljJButQG.dll,#1
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\Benji\AppData\Local\Temp\awtrpOHA.dll,c
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winvfv32.rom,AQWRun
O4 - HKCU\..\Run: [90aaeeff] rundll32.exe "C:\Users\Benji\AppData\Local\Temp	fwxllud.dll",b
O4 - HKCU\..\Run: [C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe] "C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

jacques.gache · Accepted Answer

ok mais moi sur ZHP j'ais une infection smitfraud et une combo et une sd et ces deux dernière sont dans un dossier temps c'est pour ça Ccleaner mais je suis désolé de te déranger tu as posté pendant que j'analysais donc pas de problème je te laisse @+

Destrio5 · Answer

Salut,

Désactive l'UAC :
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html

- Télécharge ComboFix.exe (de sUBs)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

- Enregistre ce fichier sur le bureau

- Redémarre en mode sans échec :
http://forum.telecharger.01net.com/forum/high-tech/SECURITE/Securite/redemarrer-mode-echec-sujet_1526_1.htm

- Désactive ton antivirus

- Double-clique sur combofix.exe, tape 1, valide par Entrée pour lancer le scan

- Lorsque le scan sera complété, un rapport apparaîtra. Copie/Colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

* Combofix est détecté par certains antivirus comme une infection, il s'agit d'un "faux positif"

** N'en tiens pas compte, continue la procédure.

jacques.gache · Answer

bonjour, commence par passer smitfraudfix recherche en mode normal et nettoyage en mode sans echec lis bien les explications , et une fois fini si tu n'as plus de fond d'écran c'est normal
http://siri.urz.free.fr/Fix/SmitfraudFix.php

pour démarrer en mode sans échec : 
Pour cela, tu redémarres ton pc et tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre  

et puis après le nettoyage de smitfraudfix tu passes  ccleaner dans ses deux modes nettoyeur et registre et si il te demande de sauvegarder fais le, et passes le plusieurs fois jusqu'a ce qu'il ne trouve plus rien , https://www.malekal.com/tutoriel-ccleaner/  sur la quatrième images du tutoriel pour l'installation tu ne conserves que la première case"ajouter un raccourci sur le bureau" et la cinquième cases"contrôler automatiquement les mises à jour de ccleaner" et avant de le lancer tu vas dans options puis avancé et tu décoches "effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures" et puis quand tu es sur nettoyeur cliques sur windows et dans la colonne avancé tu coches la première ( vieilles données du perfetch ) que celle la 

et tu redémarres le pc et tu refais un hijackthis et tu postes le rapport merci

Destrio5 · Answer

jacques.gache ---> Stop, je sais ce que je fais. Il est infecté par Vundo et je pense que ComboFix va supprimer Antivirus 2008 PRO donc OSEF de SmitfraudFix.

Destrio5 · Answer

jacques.gache ---> Pardon ;) Chacun sa méthode après tout.

Bigbak · Answer

Excusez moi mais je viens de lancer combofix et c'est à quel moment que je dois tapper 1 puis entrée?

Destrio5 · Answer

Quand il te le demande.

Il faut que tu sois en mode sans échec !

Bigbak · Answer

ComboFix 08-06-15.2 - Benji 2008-06-16 0:44:06.2 - NTFSx86 NETWORK Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.680 [GMT 2:00] Endroit: C:\Users\Benji\Desktop\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . ---- Previous Run ------- . C:\ProgramData\Adsl Software Limited C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615182644536.log C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615203030712.log C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615231101008.log C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615232928279.log C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080616002157903.log C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe C:\Users\Benji\AppData\Local\Microsoft\Windows\Temporary Internet Files\ijjistarter_verinfo.dat C:\Users\Benji\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus 2008 PRO C:\Users\Benji\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus 2008 PRO\antivirus-2008pro.lnk C:\Windows\system32\drivers\kbd.sys C:\Windows\system32\fccyxyAT.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-05-15 to 2008-06-15 )))))))))))))))))))))))))))))))))))) . Pas de nouveau fichier créé dans cet espace de temps . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-15 22:23 13,025 ----a-w C:\Users\Benji\AppData\Roaming vModes.dat 2008-06-15 21:17 --------- d-----w C:\Program Files\Trend Micro 2008-06-15 18:18 --------- d-----w C:\Users\Benji\AppData\Roaming\Grisoft 2008-06-15 18:17 --------- d-----w C:\ProgramData\Grisoft 2008-06-14 19:24 --------- d-----w C:\Users\Benji\AppData\Roaming\OFFICEOne7 2008-06-12 21:15 --------- d-----w C:\Program Files\Windows Mail 2008-06-10 16:39 --------- d-----w C:\Program Files\AIST 2008-06-10 16:38 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-06-08 18:15 --------- d-----w C:\Program Files\Common Files\Adobe 2008-06-06 14:47 --------- d-----w C:\Program Files\NOJ Script 7 2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll 2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers mcast.sys 2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll 2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll 2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll 2008-04-23 04:27 1,244,672 ----a-w C:\Windows\System32\mcmde.dll 2008-04-15 11:51 --------- d-----w C:\Program Files\QuickTime 2007-08-30 16:33 174 --sha-w C:\Program Files\desktop.ini 1996-12-02 15:44 582,144 ----a-w C:\Program Files\Common Files\dao350.dll 2008-02-23 15:16 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-02-23 15:16 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-02-23 15:16 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}] 2007-07-31 16:33 1391640 --a------ C:\Program Files\Freecorder bFree.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30AD0389-05AA-4598-BFEF-83573DB7A3BD}] C:\Users\Benji\AppData\Local\Temp\awtrpOHA.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= "C:\Program Files\Freecorder bFree.dll" [2007-07-31 16:33 1391640] [HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{1392B8D2-5C05-419F-A8F6-B9F15A596612}"= C:\Program Files\Freecorder bFree.dll [2007-07-31 16:33 1391640] [HKEY_CLASSES_ROOT\clsid\{1392b8d2-5c05-419f-a8f6-b9f15a596612}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-10 07:49 1232896] "SmpcSys"="C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 16:49 1092152] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] "OM2_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [ ] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 01:29 3313664] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728] "antivirus-2008pro.exe"="C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe" [ ] "MSSMSGS"="winvfv32.rom" [2008-06-15 17:35 33280 C:\Windows\System32\winvfv32.rom] "C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe"="C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 05:00 815104] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 04:57 3784704 C:\Windows\RtHDVCpl.exe] "NvSvc"="C:\Windows\system32 vsvc.dll" [2006-12-20 23:50 90191] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-20 23:50 7766016] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-20 23:50 81920] "HostManager"="C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe" [2006-11-14 15:55 50736] "toolbar_eula_launcher"="C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 11:00 18944] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24 286720] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-08-15 20:15 271672] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "@"="" [] "GrpConv"="grpconv -o" [] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ OFFICE One Startup v7.lnk - C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-04-22 11:30:09 713728] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{1D6931F4-6F48-424C-AD55-3D3AA5EA2BF8}"= C:\Windows\system32\fccyxyAT.dll [ ] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{4930CFF7-7722-4CAC-BAA2-F6734C1C9295}"= UDP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect "{12D7393C-9AC7-4395-B0B5-311F16BA77C6}"= TCP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect "{B6DA6A6A-58B9-48E7-B574-C57D93BFB908}"= UDP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL "{3D96032F-69F4-4DC5-97F5-27F8628D5C46}"= TCP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL "{542D2370-3EC1-48E3-9F0C-9F20E26E1CA6}"= UDP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL "{DD2865C7-81B4-4B7A-B764-2B40261C19ED}"= TCP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL "{06718602-87D8-4FDC-8B0D-3AEA54ADDB3C}"= UDP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed "{66167180-6EF7-41E0-B3CC-B24E77C608AF}"= TCP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed "{7F9F541C-BDF7-4D37-B95F-25E3D3441ED5}"= UDP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader "{A541EF0C-7DA0-4E13-8BA1-DD48705EA3CA}"= TCP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader "{BDB2AD96-091A-480C-8A82-98B0DB2B15DF}"= UDP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information "{E64FBE5D-8DF9-4C3D-A951-DC1C837B9ED9}"= TCP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information "{DA80CD94-5EF1-4C5C-9EDC-8FDE75FAEDD7}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{5B6ED780-2ADF-4F4B-B3D7-220077A39B42}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{B45FB3FA-DDB8-47D7-AD56-A729A3AB4042}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes "{C2CDEBD3-C734-431D-B404-7E1FB5E2148D}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes "TCP Query User{E9F02E62-76EC-4A27-B6D5-874BA5E43BAA}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule "UDP Query User{EB4EF9D6-918F-4CB6-9319-9F872B1BF139}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule "TCP Query User{780748D2-5427-4C34-B7AC-B7F54B75BFD5}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule "UDP Query User{BA56634F-7E71-4285-B59A-1ECD318119BF}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule "TCP Query User{278794A1-FCDE-425F-8849-BFB675D6C471}C:\ijji\english\u_skid.exe"= UDP:C:\ijji\english\u_skid.exe: "UDP Query User{E5321F13-9FBB-4C20-9CA1-9ECF3CC45003}C:\ijji\english\u_skid.exe"= TCP:C:\ijji\english\u_skid.exe: "TCP Query User{D3204FE2-ED70-4894-A0A7-9C13784F196C}C:\program files\driftcity\driftcity.exe"= UDP:C:\program files\driftcity\driftcity.exe:DriftCity "UDP Query User{D24F6955-1D85-40F8-AAA4-97A2CDED2FEF}C:\program files\driftcity\driftcity.exe"= TCP:C:\program files\driftcity\driftcity.exe:DriftCity "TCP Query User{9D48ECF7-E9E2-4AEE-B6C2-1C896DCCAA96}C:\ijji\english\gunz\gunz.exe"= UDP:C:\ijji\english\gunz\gunz.exe:Gunz "UDP Query User{70567C1C-F156-48FD-8D8F-6479E39C7AD0}C:\ijji\english\gunz\gunz.exe"= TCP:C:\ijji\english\gunz\gunz.exe:Gunz "TCP Query User{493D75AA-45BC-4307-8E5F-8FC68F0805A4}C:\program files\veoh networks\veoh\veohclient.exe"= UDP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "UDP Query User{BFF6864D-B595-40C4-B2FE-50932D358083}C:\program files\veoh networks\veoh\veohclient.exe"= TCP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "TCP Query User{AE436A4B-3671-4878-8099-6E15E7D4B90E}C:\program files\veoh networks\veoh\veohclient.exe"= UDP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "UDP Query User{271F6E1C-931D-431B-BC5A-B8D9561C1A85}C:\program files\veoh networks\veoh\veohclient.exe"= TCP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "{F78391E3-5E0B-44D2-AAB4-8594A1B62197}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{0EDECEFF-1FA2-4AC9-B55A-A0FDE1DE93DA}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{E71D9CF5-427C-40A3-86C3-C511D321EDCF}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "{7470BC53-98EA-4956-A65F-C16530D1327F}"= UDP:C:\Program Files\Lineage II\system\DragonNetwork.exe:DragonNetwork "{076114A0-468F-40F8-93B2-C377852DC541}"= TCP:C:\Program Files\Lineage II\system\DragonNetwork.exe:DragonNetwork "TCP Query User{BC8372F3-773F-4CE2-B743-09CD3369FB43}C:\program files\noj script 7\nojscript7.exe"= UDP:C:\program files oj script 7 ojscript7.exe:mIRC "UDP Query User{A0DC9494-8D13-42DA-BD71-9D0A83ACAAD4}C:\program files\noj script 7\nojscript7.exe"= TCP:C:\program files oj script 7 ojscript7.exe:mIRC [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R3 netr73;RT73 USB Wireless LAN Card Driver for Vista;C:\Windows\system32\DRIVERS etr73.sys [2006-09-28 16:41] S2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 16:52] S3 Boonty Games;Boonty Games;"C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe" [2008-01-12 19:00] S3 CIR;Hid Device;C:\Windows\system32\DRIVERS\CIR.sys [2006-12-08 03:27] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c437bfd-b521-11dc-b568-00038a000015}] \shell\AutoRun\command - F:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-06-15 22:30:37 C:\Windows\Tasks\Extension de garantie.job" - C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe "2008-06-15 22:30:37 C:\Windows\Tasks\User_Feed_Synchronization-{937AA841-D3E2-4068-B08B-3816C73C6BC7}.job" - C:\Windows\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-16 00:47:21 Windows 6.0.6000 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion un] "C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe"="\"C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe\" /autorun" . Temps d'accomplissement: 2008-06-16 0:48:10 ComboFix-quarantined-files.txt 2008-06-15 22:48:02 Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application. Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application. 179 --- E O F --- 2008-06-15 17:52:43

Destrio5 · Answer

Je te prépare une procédure.

Fais ceci en attendant :

- Télécharge CCleaner :
https://www.ccleaner.com/ccleaner/download

- Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

Bigbak · Answer

ok je fais ca tout de suite

Destrio5 · Answer

Tu connais ces fichiers ?

C:\ijji\english\u_skid.exe
C:\program files\driftcity\driftcity.exe
C:\ijji\english\gunz\gunz.exe

Bigbak · Answer

oui je les connais

jacques.gache · Answer

re bonjour si tu me permets regarde ce que me resort zhp sur l'analyse du rapport de combofix

C:\ProgramData\Adsl Software Limited       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615182644536.log       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615203030712.log       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615231101008.log       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080615232928279.log       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\LOG\20080616002157903.log       => Infection SmitFraud  
 C:\ProgramData\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe       => Infection SmitFraud

Destrio5 · Answer

Oui ;)

Mais pourquoi tu veux utiliser SmitfraudFix ?

J'ai fini le script, je vais le poster.

jacques.gache · Answer

utilises tu ZHP en version  helper à première vu non

Destrio5 · Answer

J'ai ZHP 2.27 mais je m'en sers de moins en moins souvent car je reconnais les infections.

J'ai posté la procédure mais elle ne s'affiche pas.

Bigbak · Answer

ah c'est embetant si elle ne s'affiche pas :s

Destrio5 · Answer

Je t'upload la procédure.

Bigbak · Answer

ok merci

Destrio5 · Answer

Je peux pas te poster le lien xD

Bigbak · Answer

mais c'est super XD

Destrio5 · Answer

Je te l'ai envoyé en message privé.

Bigbak · Answer

ok ok

Bigbak · Answer

ComboFix 08-06-15.2 - Benji 2008-06-16 1:36:26.3 - NTFSx86 NETWORK Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.561 [GMT 2:00] Endroit: C:\Users\Benji\Desktop\ComboFix.exe Command switches used :: C:\Users\Benji\Desktop\CFScript.txt . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\Common Files\BOONTY Shared C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe C:\Program Files\Common Files\Symantec Shared C:\Program Files\Common Files\Symantec Shared\CCPD-LC\ez_log.html C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll . ((((((((((((((((((((((((((((( Fichiers créés 2008-05-15 to 2008-06-15 )))))))))))))))))))))))))))))))))))) . Pas de nouveau fichier créé dans cet espace de temps . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-15 22:53 --------- d-----w C:\Program Files\Yahoo! 2008-06-15 22:53 --------- d-----w C:\Program Files\CCleaner 2008-06-15 22:23 13,025 ----a-w C:\Users\Benji\AppData\Roaming vModes.dat 2008-06-15 21:17 --------- d-----w C:\Program Files\Trend Micro 2008-06-15 18:18 --------- d-----w C:\Users\Benji\AppData\Roaming\Grisoft 2008-06-15 18:17 --------- d-----w C:\ProgramData\Grisoft 2008-06-14 19:24 --------- d-----w C:\Users\Benji\AppData\Roaming\OFFICEOne7 2008-06-12 21:15 --------- d-----w C:\Program Files\Windows Mail 2008-06-10 16:39 --------- d-----w C:\Program Files\AIST 2008-06-10 16:38 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-06-08 18:15 --------- d-----w C:\Program Files\Common Files\Adobe 2008-06-06 14:47 --------- d-----w C:\Program Files\NOJ Script 7 2008-05-10 03:30 14,848 ----a-w C:\Windows\System32\wshrm.dll 2008-05-10 01:21 113,664 ----a-w C:\Windows\system32\drivers mcast.sys 2008-04-26 08:02 1,327,104 ----a-w C:\Windows\System32\quartz.dll 2008-04-25 04:23 826,368 ----a-w C:\Windows\System32\wininet.dll 2008-04-25 04:23 56,320 ----a-w C:\Windows\System32\iesetup.dll 2008-04-25 04:23 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2008-04-25 04:22 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2008-04-23 04:27 428,032 ----a-w C:\Windows\System32\EncDec.dll 2008-04-23 04:27 292,352 ----a-w C:\Windows\System32\psisdecd.dll 2008-04-23 04:27 1,244,672 ----a-w C:\Windows\System32\mcmde.dll 2008-04-15 11:51 --------- d-----w C:\Program Files\QuickTime 2007-08-30 16:33 174 --sha-w C:\Program Files\desktop.ini 1996-12-02 15:44 582,144 ----a-w C:\Program Files\Common Files\dao350.dll 2008-02-23 15:16 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2008-02-23 15:16 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2008-02-23 15:16 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1392b8d2-5c05-419f-a8f6-b9f15a596612}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-10 07:49 1232896] "SmpcSys"="C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe" [2006-10-23 16:49 1092152] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440] "Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2007-10-17 01:29 3313664] "WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-23 05:00 815104] "RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 04:57 3784704 C:\Windows\RtHDVCpl.exe] "NvSvc"="C:\Windows\system32 vsvc.dll" [2006-12-20 23:50 90191] "NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2006-12-20 23:50 7766016] "NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2006-12-20 23:50 81920] "HostManager"="C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe" [2006-11-14 15:55 50736] "toolbar_eula_launcher"="C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-01-10 11:00 18944] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-08-15 20:15 271672] "!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "@"="" [] "GrpConv"="grpconv -o" [] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ OFFICE One Startup v7.lnk - C:\Program Files\OFFICE One v7\OFFICE One Startup v7\oostartupv7.exe [2007-04-22 11:30:09 713728] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{4930CFF7-7722-4CAC-BAA2-F6734C1C9295}"= UDP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect "{12D7393C-9AC7-4395-B0B5-311F16BA77C6}"= TCP:C:\Program Files\Common Files\aol\acs\AOLDial.exe:AOL Autoconnect "{B6DA6A6A-58B9-48E7-B574-C57D93BFB908}"= UDP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL "{3D96032F-69F4-4DC5-97F5-27F8628D5C46}"= TCP:C:\Program Files\Common Files\aol\acs\AOLacsd.exe:module de connexion AOL "{542D2370-3EC1-48E3-9F0C-9F20E26E1CA6}"= UDP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL "{DD2865C7-81B4-4B7A-B764-2B40261C19ED}"= TCP:C:\Program Files\AOL 9.0 VR\waol.exe:AOL "{06718602-87D8-4FDC-8B0D-3AEA54ADDB3C}"= UDP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed "{66167180-6EF7-41E0-B3CC-B24E77C608AF}"= TCP:C:\Program Files\Common Files\aol\TopSpeed\3.0\aoltpsd3.exe:AOL TopSpeed "{7F9F541C-BDF7-4D37-B95F-25E3D3441ED5}"= UDP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader "{A541EF0C-7DA0-4E13-8BA1-DD48705EA3CA}"= TCP:C:\Program Files\Common Files\aol\Loader\aolload.exe:AOL Loader "{BDB2AD96-091A-480C-8A82-98B0DB2B15DF}"= UDP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information "{E64FBE5D-8DF9-4C3D-A951-DC1C837B9ED9}"= TCP:C:\Program Files\Common Files\aol\System Information\sinf.exe:AOL System Information "{DA80CD94-5EF1-4C5C-9EDC-8FDE75FAEDD7}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{5B6ED780-2ADF-4F4B-B3D7-220077A39B42}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype "{B45FB3FA-DDB8-47D7-AD56-A729A3AB4042}"= UDP:C:\Program Files\iTunes\iTunes.exe:iTunes "{C2CDEBD3-C734-431D-B404-7E1FB5E2148D}"= TCP:C:\Program Files\iTunes\iTunes.exe:iTunes "TCP Query User{E9F02E62-76EC-4A27-B6D5-874BA5E43BAA}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule "UDP Query User{EB4EF9D6-918F-4CB6-9319-9F872B1BF139}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule "TCP Query User{780748D2-5427-4C34-B7AC-B7F54B75BFD5}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule "UDP Query User{BA56634F-7E71-4285-B59A-1ECD318119BF}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule "TCP Query User{278794A1-FCDE-425F-8849-BFB675D6C471}C:\ijji\english\u_skid.exe"= UDP:C:\ijji\english\u_skid.exe: "UDP Query User{E5321F13-9FBB-4C20-9CA1-9ECF3CC45003}C:\ijji\english\u_skid.exe"= TCP:C:\ijji\english\u_skid.exe: "TCP Query User{D3204FE2-ED70-4894-A0A7-9C13784F196C}C:\program files\driftcity\driftcity.exe"= UDP:C:\program files\driftcity\driftcity.exe:DriftCity "UDP Query User{D24F6955-1D85-40F8-AAA4-97A2CDED2FEF}C:\program files\driftcity\driftcity.exe"= TCP:C:\program files\driftcity\driftcity.exe:DriftCity "TCP Query User{9D48ECF7-E9E2-4AEE-B6C2-1C896DCCAA96}C:\ijji\english\gunz\gunz.exe"= UDP:C:\ijji\english\gunz\gunz.exe:Gunz "UDP Query User{70567C1C-F156-48FD-8D8F-6479E39C7AD0}C:\ijji\english\gunz\gunz.exe"= TCP:C:\ijji\english\gunz\gunz.exe:Gunz "TCP Query User{493D75AA-45BC-4307-8E5F-8FC68F0805A4}C:\program files\veoh networks\veoh\veohclient.exe"= UDP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "UDP Query User{BFF6864D-B595-40C4-B2FE-50932D358083}C:\program files\veoh networks\veoh\veohclient.exe"= TCP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "TCP Query User{AE436A4B-3671-4878-8099-6E15E7D4B90E}C:\program files\veoh networks\veoh\veohclient.exe"= UDP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "UDP Query User{271F6E1C-931D-431B-BC5A-B8D9561C1A85}C:\program files\veoh networks\veoh\veohclient.exe"= TCP:C:\program files\veoh networks\veoh\veohclient.exe:Veoh Client "{F78391E3-5E0B-44D2-AAB4-8594A1B62197}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{0EDECEFF-1FA2-4AC9-B55A-A0FDE1DE93DA}C:\program files\internet explorer\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "UDP Query User{E71D9CF5-427C-40A3-86C3-C511D321EDCF}C:\program files\internet explorer\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer "{7470BC53-98EA-4956-A65F-C16530D1327F}"= UDP:C:\Program Files\Lineage II\system\DragonNetwork.exe:DragonNetwork "{076114A0-468F-40F8-93B2-C377852DC541}"= TCP:C:\Program Files\Lineage II\system\DragonNetwork.exe:DragonNetwork "TCP Query User{BC8372F3-773F-4CE2-B743-09CD3369FB43}C:\program files\noj script 7\nojscript7.exe"= UDP:C:\program files oj script 7 ojscript7.exe:mIRC "UDP Query User{A0DC9494-8D13-42DA-BD71-9D0A83ACAAD4}C:\program files\noj script 7\nojscript7.exe"= TCP:C:\program files oj script 7 ojscript7.exe:mIRC [HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System] "DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic| R3 netr73;RT73 USB Wireless LAN Card Driver for Vista;C:\Windows\system32\DRIVERS etr73.sys [2006-09-28 16:41] S2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2007-12-04 16:52] S3 Boonty Games;Boonty Games;"C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe" [] S3 CIR;Hid Device;C:\Windows\system32\DRIVERS\CIR.sys [2006-12-08 03:27] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c437bfd-b521-11dc-b568-00038a000015}] \shell\AutoRun\command - F:\LaunchU3.exe -a . Contenu du dossier 'Scheduled Tasks/Tâches planifiées' "2008-06-15 22:30:37 C:\Windows\Tasks\Extension de garantie.job" - C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe "2008-06-15 22:30:37 C:\Windows\Tasks\User_Feed_Synchronization-{937AA841-D3E2-4068-B08B-3816C73C6BC7}.job" - C:\Windows\system32\msfeedssync.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-16 01:37:33 Windows 6.0.6000 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-06-16 1:38:20 ComboFix-quarantined-files.txt 2008-06-15 23:38:04 ComboFix2.txt 2008-06-15 22:48:11 Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application. Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application. 154 --- E O F --- 2008-06-15 17:52:43

Destrio5 · Answer

Un nouveau rapport HijackThis.

Bigbak · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:41:43, on 16/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Safe mode with network support

Running processes:
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\Explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

Destrio5 · Answer

En mode normal, le rapport HijackThis ;)

Bigbak · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:45:45, on 16/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32undll32.exe
C:\Program Files\Common Files\aol\1177233006\ee\aolsoftware.exe
C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\msfeedssync.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Windows\System32undll32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)

Destrio5 · Answer

---> Menu démarrer > Exécuter > services.msc > OK

---> Double-clique sur Boonty Games

---> Mets le type de démarrage en désactivé

---> Fais pareil pour :

Planificateur LiveUpdate automatique
Symantec Core LC

---> Redémarre

---> Relance HijackThis et choisis Open the Misc Tools section

---> Choisis Delete an NT service

---> Copie/Colle ceci :

Boonty Games

---> Puis clique sur OK

---> Fais pareil pour :

Planificateur LiveUpdate automatique
Symantec Core LC

---> Reposte un rapport HijackThis

Destrio5 · Answer

Un problème ?

Bigbak · Answer

bon j'ai un probleme car maintenant il me met un message en anglais avant qu'il face le rapport et mon clavier de mon portable est bloqué. Donc j'ai dû prendre un autre clavier. De plus lorsque je fais OK pour le message en anglais ca me met le dernier rapport.

Destrio5 · Answer

Tu peux pas faire un screen ?

Bigbak · Answer

http://img111.imageshack.us/img111/9439/screenqo6.png

voila

Destrio5 · Answer

C'est rien ça. Il dit juste que Vista empêche HijackThis de modifier le fichier Hosts.

Bigbak · Answer

Mais lorsque je fais ok, il me redonne le rapport precedent.

Destrio5 · Answer

Redémarre pour voir.

Bigbak · Answer

c'est deja fait et toujours le rapport de 1h45

Destrio5 · Answer

Et en mode sans échec ? Et en le réinstallant ?

Bigbak · Answer

je vais essaye en mode sans echec

Bigbak · Answer

en mode sans echec, ca fonctionne.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:30:54, on 16/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Destrio5 · Answer

Pas de trace d'infection dans ce rapport.

Bigbak · Answer

apparement j'ai plus rien et ca fonctionne comme avant.

Destrio5 · Answer

En mode normal, c'est bon ?

T'as retrouvé ton clavier ?

Bigbak · Answer

pour le clavier non 

et je vais reessayer en mode normale.

Bigbak · Answer

Voila le rapport en mode ,ormale mais j'ai l'impression que c'est le meme.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:30:54, on 16/06/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Pluginseg\VeohToolbar.dll
O3 - Toolbar: (no name) - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - (no file)
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HostManager] C:\Program Files\Common Files\AOL\1177233006\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SmpcSys] C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: OFFICE One Startup v7.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Program Files\Common Files\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Destrio5 · Answer

Ça se trouve, le pilote du clavier a sauté et il faut le réinstaller.

Regarde dans le gestionnaire de périphériques en mode normal.

Bigbak · Answer

oui c'est un probleme de pilote

Destrio5 · Answer

Tu sais te débrouiller pour le pilote ? Comment en es-tu sûr ?

Bigbak · Answer

enfin il me met ce message :

"Ce périphérique ne peut pas démarrer. (Code 10)

Cliquez sur « Rechercher des solutions » pour envoyer des données sur ce périphérique à Microsoft et vérifier s’il y a une solution disponible."

Pour le clavier et la touche pad

Destrio5 · Answer

Marque et modèle exact du PC ?

Bigbak · Answer

Packard Bell mais je n'ais pas le modele

Bigbak · Answer

EASYNOTE SW61 voila trouvé

Destrio5 · Answer

http://support.packardbell.com/fr/item/index.php?i=7406140300&pi=platform_dragon_dn

Bigbak · Answer

merci beaucoup pour m'avoir aidé à supprimer le virus et egalement pour le clavier qui fonctionne à nouveau ^^

Destrio5 · Answer

---> Réactive l'UAC

---> Fais ceci :

Télécharge Tools Cleaner sur ton bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Ceci aussi :

- Télécharge CCleaner :
https://www.ccleaner.com/ccleaner/download

- Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Il est nécessaire de désactiver puis réactiver la restauration système, fais-le :
https://forums.cnetfrance.fr

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
http://www.libellules.ch/restauration_system_vista.php

---> Installe le SP1 de Vista

---> Bon ok, je te laisse tranquille ;)

gladia35 · Answer

quand jes fais tout ce quil fallai et puis quand je clic sur play live sa me mets  probleme shell.....

Destrio5 · Answer

Tu n'es pas l'auteur du topic donc tu ne dois pas suivre ces indications.

Probleme avec winspywareproject

57 réponses