Tr/Dldr.ConHook.Aku

arthurboy -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

hier j'ai mis ajour mon antivirus.
Et quand j'ai redemarrer, surprise!

Mon pc etait infecte par :
TR/Dldr.ConHook.Aku
avec ligne de commande ...systeme32/jkkkcbqn.dll

Antivir ne peut pas le supprimmer et ce meme en mode sans echec.
Jai passe SmitFraudFix, spyboot (qui m'avait trouver adviva, doubleclick et Tradedoubler).
Par contre pas encore avec hijackthis car lui c'est plus delicat.

Symptome :
*1) au demarrage :
erreur avec explorer et drwtsn32.exe
et a chaque fois qu'un programme dans la barre de tache se lance
antivir sonne.
TR/Dldr.ConHook.Aku
avec ligne de commande ...systeme32/jkkkcbqn.dll
mais je ne peux que le supprimer etant qu'aministrateur

*2) apres :
a chaque clic sur n'importe fichier executable sur le bureau --> rebelote avec antivir

le pire je crois c'est avec CrazyBrowser (mon navigateur par defaut)
meme chose mais en plus avec ce message : erreur drwtsn32.exe et l'ecran se fige.

la ce va mieux deja apres le passage de SmitFraudfix en mode sans echec , je n'ai plus ce probleme.

Mais j'ai toujours *1) et *2)

J'ai parcouru un peu le forum mais je n'ai pas trouver de post me concernant ce :
TR/Dldr.ConHook.Aku
(y'en a c'est des TR/Dldr.ConHook.?? je vais voir deja les methode prescritent)

S'il vous plait j'ai vraiment besoin que quelqu'un m'aide sinon je vais devenir fou.

j'attends avec interet

merci

a plus
Configuration: Windows XP
Internet Explorer 7.0

37 réponses

  • 1
  • 2
Résumé de la discussion

Une infection détectée après une mise à jour antivirus sur Windows XP, TR/Dldr.ConHook.Aku, se manifeste par des erreurs au démarrage et des alertes antiviraux lors du lancement d'un programme, avec le fichier systeme32/jkkkcbqn.dll. Des interventions ont tenté d'éliminer le malware malgré les difficultés en mode normal et sans échec, avec SmitFraudFix, Spybot et des analyses visant adviva, doubleclick et Tradedoubler, sans solution immédiate. D'autres participants recommandent des outils plus spécifiques comme HijackThis ou ComboFix, avec des précautions telles que désactiver temporairement la protection et partager les rapports, et évoquent aussi MBam comme option efficace. En dernier lieu, certains conseils privilégient ComboFix et HijackThis avec rapports à partager et redémarrage éventuel, afin d'obtenir des journaux détaillés et de guider une désinfection plus précise.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut,

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post le rapport généré ici stp...

    @+
    0
  2. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut !

    Télécharge Hijackthis
    Hijackthis (HJT) est un outil de diagnostic pour voir si tout va bien avec ton pc....

    *.Enregistre HJTInstall.exe sur ton bureau
    *.Renomme le !

    Fais un clic droit sur l'icone HJT => renommer => nomme le arthur.exe
    *. Double-clique sur HJTInstall.exe pour lancer le programme
    *. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
    *. Accepte la license en cliquant sur le bouton "I Accept"
    *. Choisis l'option "Do a system scan and save a log file"
    *. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    *. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
    *. Colle le rapport que tu viens de copier sur ce forum
    *. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

    Tutoriel Générer un rapport

    0
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Salut Miss ;-))

    Damned,j'ai pas vu ton post ;-p

    Vundo ?
    0
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut jo`

    on fait a deux ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    pas grave > plus on est de fou plus on rie ;-)
    Oui c´est du vundo avec un crochet quelque part hi hi
    @+
    0
  7. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Wy not ? ;-))

    Arthur, fais la manip' que je t'ai mis post # 3 stp...

    G!rly, je pense qu'il vaut mieux renommer HJT...

    Je voulais passer MBAM direct, mais j'aime bien voir avant ;-)) Suis curieux de nature lol...
    0
  8. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    jkkkcbqn.dll inconnu au bataillon...

    On upload le fichier ?

    UploadMalware.com (Atribune) (VundoFix)
    Upload Web -> http://www.uploadmalware.com/
    0
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui c´est peut être mieux de le renommer, tu as raison...

    moi j´voulais passer combofix direct, tu me connais lol

    !!! Arthur > renomme hijack this en arthur.exe avant de le poster !!!
    0
  10. arthurboy
     
    merci ami(e)s de comment ca marche

    je vais avance petit a petit

    d'abord
    1 hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:40:41, on 18/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Anvshell.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\BitTorrent_DNA\dna.exe
    C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
    C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Crazy Browser\Crazy Browser.exe
    C:\totalcmd\TOTALCMD.EXE
    C:\HijackThis.exe

    O2 - BHO: (no name) - {4F26BEDB-D89B-44A1-948B-5D523292DADF} - C:\WINDOWS\system32\jkkKcBqN.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
    O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
    O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O20 - Winlogon Notify: jkkKcBqN - C:\WINDOWS\SYSTEM32\jkkKcBqN.dll
    O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    de rien;

    on va faire dans les régles de l´art pour ne pas tout brusquer :

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    http://www.atribune.org/ccount/click.php?id=4
    * Double-clique VundoFix.exe afin de le lancer
    * Clique sur le bouton Scan for Vundo
    * Lorsque le scan est complété, clique sur le bouton Remove Vundo
    * Une invite te demandera si tu veux supprimer les fichiers, clique YES
    * Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
    * Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
    * Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

    post également un nouveau rapport hijack this stp

    @+
    0
  12. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Yes pour combo ;-)

    ça me fais une " formation " de plus ;-))

    Par contre, ceci m'interresse...

    Arthur, peux tu envoyer ce fichier

    C:\WINDOWS\SYSTEM32\jkkKcBqN.dll

    ici STP ? UploadMalware.com (Atribune) (VundoFix)
    Upload Web -> http://www.uploadmalware.com/

    Ca permet au dévellopeur de vundofix ( Atribune ) de mettre a jour sa base de données virales... et de décortiquer cette infection

    Merci.
    0
  13. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Bon G!rly, Atribune a retiré Vundofix de ses serveurs...

    Và pour Combofix et ( ou ) MBAM..
    0
  14. g!rly Messages postés 18462 Statut Contributeur 407
     
    Oui va pour combofix :

    arthur >

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Post egalement un nouveau rapport de hijack this stp

    @+
    0
  15. arthurboy
     
    vraiment merci les gars(sauf s'il y'a des femmes)

    voila j'avais dl vundofix vrsion 6 et 7
    mais aucun resultat (no infected fils found)
    il me semble qu'avec combofix c'est mieux

    voici le rapport de combofix

    ComboFix 08-06-16.5 - xsiong 2008-06-18 22:46:40.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.35 [GMT 2:00]
    Endroit: C:\Documents and Settings\xsiong\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\Downloaded Program Files\setup.inf
    C:\WINDOWS\system32\jkkKcBqN.dll
    C:\WINDOWS\system32\w32apiw.dll

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-18 to 2008-06-18 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-18 21:39 . 2008-06-18 21:39 396,288 --a------ C:\HijackThis.exe
    2008-06-18 20:58 . 2008-06-18 20:58 <REP> d-------- C:\VundoFix Backups
    2008-06-18 20:57 . 2008-06-18 20:57 <REP> d-------- C:\Program Files\NKProds
    2008-06-18 20:57 . 2008-06-18 20:57 <REP> d-------- C:\Documents and Settings\xsiong\Application Data\nCleaner
    2008-06-17 18:47 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system32\WNASPI32.DLL
    2008-06-17 18:47 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system\WNASPI32.DLL
    2008-06-17 18:44 . 2008-06-17 18:44 <REP> d-------- C:\Documents and Settings\xsiong\Application Data\fltk.org
    2008-06-17 18:37 . 2008-06-17 18:37 <REP> d-------- C:\Program Files\Chaosritterïs ePSXe Pack
    2008-06-16 14:31 . 2008-06-16 15:45 <REP> d-------- C:\jean mp3
    2008-06-11 10:14 . 2008-04-14 17:52 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
    2008-06-10 18:58 . 2008-06-10 18:58 134 --a------ C:\WINDOWS\Jforest.ini
    2008-06-09 20:08 . 2008-06-09 20:08 268 --ah----- C:\sqmdata04.sqm
    2008-06-09 20:08 . 2008-06-09 20:08 244 --ah----- C:\sqmnoopt04.sqm
    2008-06-09 17:15 . 2008-06-09 17:15 268 --ah----- C:\sqmdata03.sqm
    2008-06-09 17:15 . 2008-06-09 17:15 244 --ah----- C:\sqmnoopt03.sqm
    2008-06-09 02:51 . 2008-06-09 02:51 268 --ah----- C:\sqmdata02.sqm
    2008-06-09 02:51 . 2008-06-09 02:51 244 --ah----- C:\sqmnoopt02.sqm
    2008-06-08 02:18 . 2008-06-08 02:18 268 --ah----- C:\sqmdata01.sqm
    2008-06-08 02:18 . 2008-06-08 02:18 244 --ah----- C:\sqmnoopt01.sqm
    2008-06-06 21:08 . 2008-06-06 21:08 268 --ah----- C:\sqmdata00.sqm
    2008-06-06 21:08 . 2008-06-06 21:08 244 --ah----- C:\sqmnoopt00.sqm
    2008-05-31 23:18 . 2008-05-31 23:21 184 --a------ C:\WINDOWS\wininit.ini
    2008-05-29 16:03 . 2008-05-29 16:03 <REP> d-------- C:\Program Files\IVCsoft
    2008-05-29 14:59 . 2008-05-29 14:59 <REP> d-------- C:\Program Files\SWF-AVI-GIF Converter

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-18 21:01 45,549,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
    2008-06-18 20:54 537,896 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
    2008-06-18 20:54 --------- d-----w C:\Documents and Settings\xsiong\Application Data\BitTorrent DNA
    2008-06-18 20:31 89,600 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
    2008-06-18 19:23 90,112 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
    2008-06-18 19:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    2008-06-18 19:21 --------- d-----w C:\Program Files\Paint Shop Pro 5
    2008-06-18 19:21 --------- d-----w C:\Program Files\ACDSee32
    2008-06-18 19:21 --------- d-----w C:\Documents and Settings\xsiong\Application Data\Vso
    2008-06-18 19:21 --------- d-----w C:\Documents and Settings\xsiong\Application Data\BitTorrent
    2008-06-18 15:06 309,248 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
    2008-06-18 09:34 1,021,440 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
    2008-06-17 17:47 1,387,008 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
    2008-06-17 16:37 --------- d-----w C:\Program Files\Chaosritter´s ePSXe Pack
    2008-06-16 19:16 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
    2008-06-16 13:22 2,685,440 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
    2008-06-14 22:55 3,998,208 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
    2008-06-13 13:00 --------- d-----w C:\Program Files\Norton Security Scan
    2008-06-03 06:44 --------- d-----w C:\Program Files\Crazy Browser
    2008-06-01 11:56 --------- d-----w C:\Program Files\HijackThis2.0.2
    2008-05-31 19:37 385,536 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
    2008-05-31 17:16 1,584,640 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
    2008-05-30 21:47 3,104,256 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
    2008-05-21 01:32 2,204,672 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
    2008-05-20 00:06 2,829,312 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
    2008-05-19 19:26 --------- d-----w C:\Program Files\DJGCN
    2008-05-18 22:21 2,810,368 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
    2008-05-18 14:30 2,085,446 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
    2008-05-18 14:29 1,543,168 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
    2008-05-17 05:50 1,363,968 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
    2008-05-16 00:07 4,935,168 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
    2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
    2008-05-03 11:47 --------- d-----w C:\Program Files\Free Audio Pack
    2008-04-28 06:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic
    2008-04-16 12:42 115,859 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_04_16_01_41_02_small.dmp.zip
    2008-04-15 18:50 3,686,912 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
    2008-04-12 02:07 3,762,176 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
    2008-04-01 00:36 713,728 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
    2008-03-31 01:50 3,720,704 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
    2007-11-08 11:41 587,829 ---ha-w C:\Program Files\pub.psp
    2006-12-04 19:31 94,080 ----a-w C:\Documents and Settings\xsiong\Application Data\ezplay.sys
    2006-12-04 19:31 81,920 ----a-w C:\Documents and Settings\xsiong\Application Data\ezpinst.exe
    2006-12-04 19:31 47,360 ----a-w C:\Documents and Settings\xsiong\Application Data\pcouffin.sys
    2002-03-15 04:47 819,200 ----a-w C:\Program Files\SAFlashPlayer.exe
    2008-01-28 18:35 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F26BEDB-D89B-44A1-948B-5D523292DADF}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
    "LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-04-11 22:28 32768]
    "msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
    "SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
    "BitTorrent DNA"="C:\Program Files\BitTorrent_DNA\dna.exe" [2007-12-11 18:23 286016]
    "AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544]
    "MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-09-13 14:00 327680]
    "avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 09:56 262401]
    "%FP%Friendly fts.exe"="C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe" [2003-05-06 09:28 72192]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
    "Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 22:54 919016]
    "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 19:19 221184]
    "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 19:57 458752]
    "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 19:51 217088]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
    "nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
    "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 22:54 919016]
    "LiveNote"="livenote.exe" [2002-07-11 15:31 40960 C:\WINDOWS\livenote.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "vregfwlx"= {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll [ ]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKcBqN]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.VP40"= vp4vfw.dll
    "vidc.X264"= x264vfw.dll
    "msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
    "msacm.mpegacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
    "msacm.ulmp3acm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
    --a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
    --a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
    --a------ 2006-08-23 19:37 98304 C:\Program Files\QuickTime\qttask.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "C:\\Program Files\\BitTorrent\\bittorrent.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
    "C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
    "C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\MSN Messenger\\livecall.exe"=
    "C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
    "C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

    R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-27 09:56]
    R1 ANVOSDNT;ASUS Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\anvosdnt.sys [2007-09-06 20:31]
    R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-27 09:56]
    R3 PPPoEWin;PPPoEWin Miniport;C:\WINDOWS\system32\DRIVERS\PPPoEWin.SYS [2003-09-25 16:52]
    S1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\DRIVERS\anvioctl.sys [2002-09-19 04:35]
    S3 AIO2;AIO2;C:\WINDOWS\system32\drivers\AIO2.sys [2002-09-12 12:08]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
    \Shell\AutoRun\command - F:\wd_windows_tools\setup.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e073a946-108c-11dd-8ec8-5050506f4531}]
    \Shell\AutoRun\command - F:\wd_windows_tools\setup.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee8e9c1e-6cd9-11dc-9646-5050506f4531}]
    \Shell\AutoRun\command - E:\LaunchU3.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-13 13:00:41 C:\WINDOWS\Tasks\Norton Security Scan.job"
    - C:\Program Files\Norton Security Scan\Nss.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-18 22:59:26
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-18 23:08:34 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-18 21:08:22

    Pre-Run: 38,823,538,688 octets libres
    Post-Run: 38,803,615,744 octets libres

    206 --- E O F --- 2008-06-11 14:13:29

    c'est un bien long log!

    encore merci a tous
    0
  16. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Toi, tu vas te faire tirer les oreilles ;-))

    g!rlyest une demoiselle ;-)

    Ton fichier bizarre a été supprimé a premiere vue, G!rly est l'experte Combofix, elle nous en dira plus...

    @+
    0
  17. arthurboy
     
    j'ai redemarre

    comme l'a dit jorginho67 mon fichier bizarre
    (c'est dire jkkkcbqn.dll) spybot a pu enfin me le supprimer.
    Et comme par miracle tout est revenu comme avant.
    je n'est plus antivir qui sonne a chaque fois que je clicc sur une icon du bureau

    je vais quand meme poster le log de hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:48:43, on 18/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16674)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Anvshell.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
    C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\BitTorrent_DNA\dna.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
    C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    C:\totalcmd\TOTALCMD.EXE
    C:\Program Files\Crazy Browser\Crazy Browser.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Xi\NetTransport 2\NetTransport.exe
    C:\HijackThis.exe

    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
    O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
    O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
    O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
    O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
    O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  18. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Bon, en attendant G!rly

    Désactive le tea timer de Spybot S&D

    Il faut seulement désactiver la fonction Résident de Spybot-S&D.
    Lance Spybot-S&D, passe en Mode avancé via le Menu Mode (en haut) ? clique sur Oui ? choisis Outils dans la barre de navigation sur la gauche ? Résident et là, décocher la case résident "tea timer" et referme Spybot

    • Relance HijackThis, choisis "do a scan only"
    coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

    4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)


    Comment fixer les lignes et Générer un rapport

    Ensuite :

    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    * Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

    A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

    * Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

    Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

    MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

    * Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

    MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

    A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

    * Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression <== (a faire impérativement sous peine de recommencer le scan) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

    Ferme MBAM en cliquant sur Quitter.

    Poste le rapport dans ta réponse

    @+
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut Arthur et Jo`

    Mbam est tres bien venu a ce moment`

    Bonne soirée`

    @+
    0
  20. arthurboy
     
    re

    merci pour le coup de pouce g!rly

    j'etait occupe au boulot

    etape effectuee
    je poste le log

    Malwarebytes' Anti-Malware 1.18
    Version de la base de données: 871

    17:24:44 20/06/2008
    mbam-log-6-20-2008 (17-24-44).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 124493
    Temps écoulé: 59 minute(s), 32 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 7
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\atfxqogp.bfpq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\CLSID\{d3291382-13cb-4d51-a855-0a6d2a28fb29} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{ea3ee0a1-2ca5-4235-adb5-21e87b0c95c3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{07a63edc-27dd-4fd1-a50f-ce953ecfd624} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{279aee49-b966-45a8-859e-e3b979bcd956} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Interface\{abec5c0b-d57c-4c34-952f-2bbc1e3ce9b7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{5682b8d8-83a4-4ba3-bb01-d2282246c5c5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{8010CA7E-3F0B-4C37-A4DC-5D6252582854}\RP625\A0303179.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

    bizarrement ce fichier bizarre que j'ai mentionne plus est revenu
    (antivir l'a signale 2 fois aujourd'hui).
    ce qui est surprnant c'est que je qu'il a trouve un Trojan.Vundo
    c'es tpeut etre pour ca que les version de Vundofix que j'ai lance
    n'ont rien signale

    a +
    0
  21. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Re !

    C:\System Volume Information\_restore

    Il s'agit de la restauration systeme !

    Pour y remedier, il suffira de la désactiver, et la réactiver pour ainsi créer un poin de restauration propre !

    On le feras a la fin.

    Bon, MBAM a déjà nettoyer, mais cependant, j' aimerai vérifier avec Smitfraudfix

    Télécharge SmitfraudFix
    Utilitaire de S!Ri: Moe et balltrap34

    Installe le à la racine de C : tuto d'utilisation

    Double clique sur l'exe pour le décompresser et lancer le fix.

    Utilisation option 1 Recherche :

    Double clique sur smitfraudfix.cmd
    Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

    Ne fais rien d'autre sans notre avis

    Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    @+

    0
  • 1
  • 2