Sujet Précédent Sujet Suivant

Tr/Dldr.ConHook.Aku

arthurboy -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

hier j'ai mis ajour mon antivirus.
Et quand j'ai redemarrer, surprise!

Mon pc etait infecte par :
TR/Dldr.ConHook.Aku
avec ligne de commande ...systeme32/jkkkcbqn.dll

Antivir ne peut pas le supprimmer et ce meme en mode sans echec.
Jai passe SmitFraudFix, spyboot (qui m'avait trouver adviva, doubleclick et Tradedoubler).
Par contre pas encore avec hijackthis car lui c'est plus delicat.

Symptome :
*1) au demarrage :
erreur avec explorer et drwtsn32.exe
et a chaque fois qu'un programme dans la barre de tache se lance
antivir sonne.
TR/Dldr.ConHook.Aku
avec ligne de commande ...systeme32/jkkkcbqn.dll
mais je ne peux que le supprimer etant qu'aministrateur

*2) apres :
a chaque clic sur n'importe fichier executable sur le bureau --> rebelote avec antivir

le pire je crois c'est avec CrazyBrowser (mon navigateur par defaut)
meme chose mais en plus avec ce message : erreur drwtsn32.exe et l'ecran se fige.

la ce va mieux deja apres le passage de SmitFraudfix en mode sans echec , je n'ai plus ce probleme.

Mais j'ai toujours *1) et *2)

J'ai parcouru un peu le forum mais je n'ai pas trouver de post me concernant ce :
TR/Dldr.ConHook.Aku
(y'en a c'est des TR/Dldr.ConHook.?? je vais voir deja les methode prescritent)

S'il vous plait j'ai vraiment besoin que quelqu'un m'aide sinon je vais devenir fou.

j'attends avec interet

merci

a plus

37 réponses

  • 1
  • 2
Réponse 1 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
Salut,

Télécharge HijackThis ici :

-> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

-> http://pageperso.aol.fr/balltrap34/Hijenr.gif

Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

Post le rapport généré ici stp...

@+
0
Réponse 2 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut !

Télécharge Hijackthis
Hijackthis (HJT) est un outil de diagnostic pour voir si tout va bien avec ton pc....

*.Enregistre HJTInstall.exe sur ton bureau
*.Renomme le !

Fais un clic droit sur l'icone HJT => renommer => nomme le arthur.exe
*. Double-clique sur HJTInstall.exe pour lancer le programme
*. Par défaut, il s'installera là C:\Program Files\Trend Micro\HijackThis
*. Accepte la license en cliquant sur le bouton "I Accept"
*. Choisis l'option "Do a system scan and save a log file"
*. Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
*. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport
*. Colle le rapport que tu viens de copier sur ce forum
*. Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement

Tutoriel Générer un rapport

0
Réponse 3 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Salut Miss ;-))

Damned,j'ai pas vu ton post ;-p

Vundo ?
0
Réponse 4 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
Salut jo`

on fait a deux ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
pas grave > plus on est de fou plus on rie ;-)
Oui c´est du vundo avec un crochet quelque part hi hi
@+
0
Réponse 6 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Wy not ? ;-))

Arthur, fais la manip' que je t'ai mis post # 3 stp...

G!rly, je pense qu'il vaut mieux renommer HJT...

Je voulais passer MBAM direct, mais j'aime bien voir avant ;-)) Suis curieux de nature lol...
0
Réponse 7 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
jkkkcbqn.dll inconnu au bataillon...

On upload le fichier ?

UploadMalware.com (Atribune) (VundoFix)
Upload Web -> http://www.uploadmalware.com/
0
Réponse 8 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
oui c´est peut être mieux de le renommer, tu as raison...

moi j´voulais passer combofix direct, tu me connais lol

!!! Arthur > renomme hijack this en arthur.exe avant de le poster !!!
0
Réponse 9 / 37
arthurboy
 
merci ami(e)s de comment ca marche

je vais avance petit a petit

d'abord
1 hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:40:41, on 18/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Anvshell.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\BitTorrent_DNA\dna.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\totalcmd\TOTALCMD.EXE
C:\HijackThis.exe

O2 - BHO: (no name) - {4F26BEDB-D89B-44A1-948B-5D523292DADF} - C:\WINDOWS\system32\jkkKcBqN.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - Winlogon Notify: jkkKcBqN - C:\WINDOWS\SYSTEM32\jkkKcBqN.dll
O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 10 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
de rien;

on va faire dans les régles de l´art pour ne pas tout brusquer :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
http://www.atribune.org/ccount/click.php?id=4
* Double-clique VundoFix.exe afin de le lancer
* Clique sur le bouton Scan for Vundo
* Lorsque le scan est complété, clique sur le bouton Remove Vundo
* Une invite te demandera si tu veux supprimer les fichiers, clique YES
* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
* Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

post également un nouveau rapport hijack this stp

@+
0
Réponse 11 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Yes pour combo ;-)

ça me fais une " formation " de plus ;-))

Par contre, ceci m'interresse...

Arthur, peux tu envoyer ce fichier

C:\WINDOWS\SYSTEM32\jkkKcBqN.dll

ici STP ? UploadMalware.com (Atribune) (VundoFix)
Upload Web -> http://www.uploadmalware.com/

Ca permet au dévellopeur de vundofix ( Atribune ) de mettre a jour sa base de données virales... et de décortiquer cette infection

Merci.
0
Réponse 12 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Bon G!rly, Atribune a retiré Vundofix de ses serveurs...

Và pour Combofix et ( ou ) MBAM..
0
Réponse 13 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
Oui va pour combofix :

arthur >

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

-> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Post egalement un nouveau rapport de hijack this stp

@+
0
Réponse 14 / 37
arthurboy
 
vraiment merci les gars(sauf s'il y'a des femmes)

voila j'avais dl vundofix vrsion 6 et 7
mais aucun resultat (no infected fils found)
il me semble qu'avec combofix c'est mieux

voici le rapport de combofix

ComboFix 08-06-16.5 - xsiong 2008-06-18 22:46:40.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.35 [GMT 2:00]
Endroit: C:\Documents and Settings\xsiong\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\jkkKcBqN.dll
C:\WINDOWS\system32\w32apiw.dll

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-18 to 2008-06-18 ))))))))))))))))))))))))))))))))))))
.

2008-06-18 21:39 . 2008-06-18 21:39 396,288 --a------ C:\HijackThis.exe
2008-06-18 20:58 . 2008-06-18 20:58 <REP> d-------- C:\VundoFix Backups
2008-06-18 20:57 . 2008-06-18 20:57 <REP> d-------- C:\Program Files\NKProds
2008-06-18 20:57 . 2008-06-18 20:57 <REP> d-------- C:\Documents and Settings\xsiong\Application Data\nCleaner
2008-06-17 18:47 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system32\WNASPI32.DLL
2008-06-17 18:47 . 1998-11-12 13:06 48,128 --a------ C:\WINDOWS\system\WNASPI32.DLL
2008-06-17 18:44 . 2008-06-17 18:44 <REP> d-------- C:\Documents and Settings\xsiong\Application Data\fltk.org
2008-06-17 18:37 . 2008-06-17 18:37 <REP> d-------- C:\Program Files\Chaosritterïs ePSXe Pack
2008-06-16 14:31 . 2008-06-16 15:45 <REP> d-------- C:\jean mp3
2008-06-11 10:14 . 2008-04-14 17:52 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 18:58 . 2008-06-10 18:58 134 --a------ C:\WINDOWS\Jforest.ini
2008-06-09 20:08 . 2008-06-09 20:08 268 --ah----- C:\sqmdata04.sqm
2008-06-09 20:08 . 2008-06-09 20:08 244 --ah----- C:\sqmnoopt04.sqm
2008-06-09 17:15 . 2008-06-09 17:15 268 --ah----- C:\sqmdata03.sqm
2008-06-09 17:15 . 2008-06-09 17:15 244 --ah----- C:\sqmnoopt03.sqm
2008-06-09 02:51 . 2008-06-09 02:51 268 --ah----- C:\sqmdata02.sqm
2008-06-09 02:51 . 2008-06-09 02:51 244 --ah----- C:\sqmnoopt02.sqm
2008-06-08 02:18 . 2008-06-08 02:18 268 --ah----- C:\sqmdata01.sqm
2008-06-08 02:18 . 2008-06-08 02:18 244 --ah----- C:\sqmnoopt01.sqm
2008-06-06 21:08 . 2008-06-06 21:08 268 --ah----- C:\sqmdata00.sqm
2008-06-06 21:08 . 2008-06-06 21:08 244 --ah----- C:\sqmnoopt00.sqm
2008-05-31 23:18 . 2008-05-31 23:21 184 --a------ C:\WINDOWS\wininit.ini
2008-05-29 16:03 . 2008-05-29 16:03 <REP> d-------- C:\Program Files\IVCsoft
2008-05-29 14:59 . 2008-05-29 14:59 <REP> d-------- C:\Program Files\SWF-AVI-GIF Converter

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 21:01 45,549,600 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-18 20:54 537,896 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-18 20:54 --------- d-----w C:\Documents and Settings\xsiong\Application Data\BitTorrent DNA
2008-06-18 20:31 89,600 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-06-18 19:23 90,112 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-06-18 19:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-18 19:21 --------- d-----w C:\Program Files\Paint Shop Pro 5
2008-06-18 19:21 --------- d-----w C:\Program Files\ACDSee32
2008-06-18 19:21 --------- d-----w C:\Documents and Settings\xsiong\Application Data\Vso
2008-06-18 19:21 --------- d-----w C:\Documents and Settings\xsiong\Application Data\BitTorrent
2008-06-18 15:06 309,248 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-06-18 09:34 1,021,440 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-06-17 17:47 1,387,008 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-06-17 16:37 --------- d-----w C:\Program Files\Chaosritter´s ePSXe Pack
2008-06-16 19:16 716,272 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-06-16 13:22 2,685,440 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-06-14 22:55 3,998,208 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-06-13 13:00 --------- d-----w C:\Program Files\Norton Security Scan
2008-06-03 06:44 --------- d-----w C:\Program Files\Crazy Browser
2008-06-01 11:56 --------- d-----w C:\Program Files\HijackThis2.0.2
2008-05-31 19:37 385,536 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-05-31 17:16 1,584,640 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-05-30 21:47 3,104,256 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-05-21 01:32 2,204,672 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-05-20 00:06 2,829,312 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-05-19 19:26 --------- d-----w C:\Program Files\DJGCN
2008-05-18 22:21 2,810,368 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-05-18 14:30 2,085,446 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-18 14:29 1,543,168 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-05-17 05:50 1,363,968 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-05-16 00:07 4,935,168 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-03 11:47 --------- d-----w C:\Program Files\Free Audio Pack
2008-04-28 06:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic
2008-04-16 12:42 115,859 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2008_04_16_01_41_02_small.dmp.zip
2008-04-15 18:50 3,686,912 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-04-12 02:07 3,762,176 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-04-01 00:36 713,728 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-03-31 01:50 3,720,704 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-11-08 11:41 587,829 ---ha-w C:\Program Files\pub.psp
2006-12-04 19:31 94,080 ----a-w C:\Documents and Settings\xsiong\Application Data\ezplay.sys
2006-12-04 19:31 81,920 ----a-w C:\Documents and Settings\xsiong\Application Data\ezpinst.exe
2006-12-04 19:31 47,360 ----a-w C:\Documents and Settings\xsiong\Application Data\pcouffin.sys
2002-03-15 04:47 819,200 ----a-w C:\Program Files\SAFlashPlayer.exe
2008-01-28 18:35 10,022 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4F26BEDB-D89B-44A1-948B-5D523292DADF}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-04-11 22:28 32768]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 12:43 2097488]
"BitTorrent DNA"="C:\Program Files\BitTorrent_DNA\dna.exe" [2007-12-11 18:23 286016]
"AlcoholAutomount"="C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-03-20 18:46 217544]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-09-13 14:00 327680]
"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 09:56 262401]
"%FP%Friendly fts.exe"="C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe" [2003-05-06 09:28 72192]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 22:54 919016]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 19:19 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 19:57 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 19:51 217088]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 22:54 919016]
"LiveNote"="livenote.exe" [2002-07-11 15:31 40960 C:\WINDOWS\livenote.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vregfwlx"= {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKcBqN]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP40"= vp4vfw.dll
"vidc.X264"= x264vfw.dll
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\MPEGacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\MPEG\ulmp3acm.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-23 19:37 98304 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\BitTorrent\\bittorrent.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\BitTorrent_DNA\\dna.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-27 09:56]
R1 ANVOSDNT;ASUS Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\anvosdnt.sys [2007-09-06 20:31]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-27 09:56]
R3 PPPoEWin;PPPoEWin Miniport;C:\WINDOWS\system32\DRIVERS\PPPoEWin.SYS [2003-09-25 16:52]
S1 ANVIOCTL;ANVIOCTL;C:\WINDOWS\system32\DRIVERS\anvioctl.sys [2002-09-19 04:35]
S3 AIO2;AIO2;C:\WINDOWS\system32\drivers\AIO2.sys [2002-09-12 12:08]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e073a946-108c-11dd-8ec8-5050506f4531}]
\Shell\AutoRun\command - F:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ee8e9c1e-6cd9-11dc-9646-5050506f4531}]
\Shell\AutoRun\command - E:\LaunchU3.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-06-13 13:00:41 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Program Files\Norton Security Scan\Nss.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-18 22:59:26
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-18 23:08:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-18 21:08:22

Pre-Run: 38,823,538,688 octets libres
Post-Run: 38,803,615,744 octets libres

206 --- E O F --- 2008-06-11 14:13:29

c'est un bien long log!

encore merci a tous
0
Réponse 15 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Toi, tu vas te faire tirer les oreilles ;-))

g!rlyest une demoiselle ;-)

Ton fichier bizarre a été supprimé a premiere vue, G!rly est l'experte Combofix, elle nous en dira plus...

@+
0
Réponse 16 / 37
arthurboy
 
j'ai redemarre

comme l'a dit jorginho67 mon fichier bizarre
(c'est dire jkkkcbqn.dll) spybot a pu enfin me le supprimer.
Et comme par miracle tout est revenu comme avant.
je n'est plus antivir qui sonne a chaque fois que je clicc sur une icon du bureau

je vais quand meme poster le log de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:43, on 18/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Anvshell.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\BitTorrent_DNA\dna.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Xi\NetTransport 2\NetTransport.exe
C:\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [%FP%Friendly fts.exe] "C:\Program Files\Friendly Technologies\BroadbandAccess\fts.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de détection de support de Cyber-shot Viewer.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Télécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Tout t&élécharger avec NetTransport - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\Program Files\Eltima Software\Flash Decompiler\iebt.dll (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 17 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Bon, en attendant G!rly

Désactive le tea timer de Spybot S&D

Il faut seulement désactiver la fonction Résident de Spybot-S&D.
Lance Spybot-S&D, passe en Mode avancé via le Menu Mode (en haut) ? clique sur Oui ? choisis Outils dans la barre de navigation sur la gauche ? Résident et là, décocher la case résident "tea timer" et referme Spybot

• Relance HijackThis, choisis "do a scan only"
coche la case devant les lignes ci-dessous et clic en bas sur "fix checked".

4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O21 - SSODL: vregfwlx - {A6D2761D-EE89-4531-9D14-193266C566C9} - C:\WINDOWS\vregfwlx.dll (file missing)

Comment fixer les lignes et Générer un rapport

Ensuite :

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

* Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

* Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware soient cochées.

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

* Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

* Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression <== (a faire impérativement sous peine de recommencer le scan) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

Ferme MBAM en cliquant sur Quitter.

Poste le rapport dans ta réponse

@+
0
Réponse 18 / 37
g!rly Messages postés 18462 Statut Contributeur 406
 
Salut Arthur et Jo`

Mbam est tres bien venu a ce moment`

Bonne soirée`

@+
0
Réponse 19 / 37
arthurboy
 
re

merci pour le coup de pouce g!rly

j'etait occupe au boulot

etape effectuee
je poste le log

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 871

17:24:44 20/06/2008
mbam-log-6-20-2008 (17-24-44).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 124493
Temps écoulé: 59 minute(s), 32 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\atfxqogp.bfpq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d3291382-13cb-4d51-a855-0a6d2a28fb29} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ea3ee0a1-2ca5-4235-adb5-21e87b0c95c3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07a63edc-27dd-4fd1-a50f-ce953ecfd624} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{279aee49-b966-45a8-859e-e3b979bcd956} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{abec5c0b-d57c-4c34-952f-2bbc1e3ce9b7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5682b8d8-83a4-4ba3-bb01-d2282246c5c5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{8010CA7E-3F0B-4C37-A4DC-5D6252582854}\RP625\A0303179.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

bizarrement ce fichier bizarre que j'ai mentionne plus est revenu
(antivir l'a signale 2 fois aujourd'hui).
ce qui est surprnant c'est que je qu'il a trouve un Trojan.Vundo
c'es tpeut etre pour ca que les version de Vundofix que j'ai lance
n'ont rien signale

a +
0
Réponse 20 / 37
jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
 
Re !

C:\System Volume Information\_restore

Il s'agit de la restauration systeme !

Pour y remedier, il suffira de la désactiver, et la réactiver pour ainsi créer un poin de restauration propre !

On le feras a la fin.

Bon, MBAM a déjà nettoyer, mais cependant, j' aimerai vérifier avec Smitfraudfix

Télécharge SmitfraudFix
Utilitaire de S!Ri: Moe et balltrap34

Installe le à la racine de C : tuto d'utilisation

Double clique sur l'exe pour le décompresser et lancer le fix.

Utilisation option 1 Recherche :

Double clique sur smitfraudfix.cmd
Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

Ne fais rien d'autre sans notre avis

Copie/colle le RAPPORT sur ta prochaine réponse sur ce post stp.

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


@+

0

Discussions similaires

Signification "TR"
andromeid -
matrix4422 -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Problème casque sennheiser 4200
barbie35 -
Beenaxa -

1 réponse