Trop de pubs, au secours !!!

trikoti -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

Je viens à vous afin de trouver qqun qui pourrait m'aider à me débarrasser de toutes ces pubs.
J'ai fait un rapport avec HijackThis, si une personne peut me dire ce qu'il en est car à partir de là je suis totalement perdue.

Merci d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:06:09, on 21/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nono\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "c:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
O4 - HKLM\..\Run: [BM8713133c] Rundll32.exe "C:\WINDOWS\system32\tlqhfwcd.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [kyfghl] c:\documents and settings\nono\local settings\application data\kyfghl.exe kyfghl
O4 - HKCU\..\Run: [Steam] "C:\jeux\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O8 - Extra context menu item: Convertir en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Network Associates McShield (McShield) - Unknown owner - C:\Program Files\Network Associates\VirusScan\Mcshield.exe (file missing)
O23 - Service: Network Associates Task Manager (McTaskManager) - Unknown owner - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 7474 bytes
Configuration: Windows XP
Internet Explorer 6.0

10 réponses

  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut

    1
    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    2
    repost un nouveau hijack this stp

    @+
    0
  2. karbos Messages postés 271 Statut Membre 41
     
    Essaie Mozilla ou simplement Avant Browser qui marche comme Internet Explorer mais bloque un peu mieux les pubs (avec plein d'option sympa).

    Ton paste à l'air propre...
    0
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    mozilla > lol > laisse moi rire karbos...
    0
  4. karbos Messages postés 271 Statut Membre 41
     
    en plus il l'a installé, c'est pour ça que je lui conseille Avant Browser, i marche bien non?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui mais contre ca :

    [BM8713133c] Rundll32.exe "C:\WINDOWS\system32\tlqhfwcd.dll",s
    [kyfghl] c:\documents and settings\nono\local settings\application data\kyfghl.exe kyfghl

    je crains qu´il ne fasse pas le poids...

    you see ?
    0
  7. karbos Messages postés 271 Statut Membre 41
     
    C'est marrant g scotché sur la ligne juste au-dessus et g rien vu, t'as l'habitude toi !
    0
  8. g!rly Messages postés 18462 Statut Contributeur 407
     
    oui, on va dire ça ;-)
    0
  9. trikoti
     
    Depuis hier j'ai réellement du mal à me connecter ou simplement à ouvrir des pages mozilla.
    Je t'envoie le rapport Combofix comme prévu.

    Merci. Marie

    ComboFix 08-06-19.1 - Nono 2008-06-21 0:39:22.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1547 [GMT 2:00]
    Endroit: C:\Documents and Settings\Nono\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Adsl Software Limited
    C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect\LOG\20080613145519328.log
    C:\Documents and Settings\All Users\Application Data\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
    c:\Documents and Settings\Nono\Local Settings\Application Data\kyfghl.dat
    c:\Documents and Settings\Nono\Local Settings\Application Data\kyfghl_nav.dat
    c:\Documents and Settings\Nono\Local Settings\Application Data\kyfghl_navps.dat
    C:\Documents and Settings\Nono\Menu Démarrer\Programmes\Antivirus 2008 PRO
    C:\Documents and Settings\Nono\Menu Démarrer\Programmes\Antivirus 2008 PRO\antivirus-2008pro.lnk
    C:\Documents and Settings\Nono\Menu Démarrer\Programmes\Spyware-Secure
    C:\Documents and Settings\Nono\Menu Démarrer\Programmes\Spyware-Secure\Spyware-Secure trial.lnk
    C:\Documents and Settings\Nono\Menu Démarrer\Programmes\Spyware-Secure\Website.lnk
    C:\Program Files\Antivirus 2008 PRO
    C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe
    C:\Program Files\Antivirus 2008 PRO\vscan.tsi
    C:\Program Files\Antivirus 2008 PRO\zlib.dll
    C:\WINDOWS\BM8713133c.xml
    C:\WINDOWS\cookies.ini
    C:\WINDOWS\privacy_danger
    C:\WINDOWS\privacy_danger\images\capt.gif
    C:\WINDOWS\privacy_danger\images\danger.jpg
    C:\WINDOWS\privacy_danger\images\down.gif
    C:\WINDOWS\privacy_danger\images\spacer.gif
    C:\WINDOWS\privacy_danger\index.htm
    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\bephwcvn.dll
    C:\WINDOWS\system32\cjlpoguj.ini
    C:\WINDOWS\system32\dkcekaiy.dll
    C:\WINDOWS\system32\efccYRhi.dll
    C:\WINDOWS\system32\ffjfytit.ini
    C:\WINDOWS\system32\FfMSrXyb.ini
    C:\WINDOWS\system32\FfMSrXyb.ini2
    C:\WINDOWS\system32\hkuadsni.ini
    C:\WINDOWS\system32\hripvgpf.ini
    C:\WINDOWS\system32\IhRuDfhk.ini
    C:\WINDOWS\system32\IhRuDfhk.ini2
    C:\WINDOWS\system32\iifdaYsp.dll
    C:\WINDOWS\system32\kkiycknt.ini
    C:\WINDOWS\system32\lSrXbJlm.ini
    C:\WINDOWS\system32\lSrXbJlm.ini2
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\MSINET.oca
    C:\WINDOWS\system32\nvs2.inf
    C:\WINDOWS\system32\ocqnuica.dll
    C:\WINDOWS\system32\psYadfii.ini
    C:\WINDOWS\system32\psYadfii.ini2
    C:\WINDOWS\system32\rhemtdih.ini
    C:\WINDOWS\system32\setup.ini
    C:\WINDOWS\system32\tlqhfwcd.dll
    C:\WINDOWS\system32\ufeukqvp.dll
    C:\WINDOWS\system32\wytjsndy.ini
    C:\WINDOWS\system32\yhyuwpfc.ini
    C:\WINDOWS\system32\yomppseu.ini

    .
    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-20 to 2008-06-20 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-21 00:31 . 2008-06-21 00:31 <REP> d-------- C:\Program Files\Goto Software
    2008-06-21 00:31 . 2008-06-21 00:31 <REP> d-------- C:\Documents and Settings\Nono\Application Data\VadeRetro
    2008-06-21 00:31 . 2008-06-21 00:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\VadeRetro
    2008-06-20 22:26 . 2008-06-20 22:26 <REP> d-------- C:\QUARANTINE
    2008-06-20 22:26 . 2008-06-20 22:53 512 --a------ C:\WINDOWS\randseed.rnd
    2008-06-20 21:20 . 2008-06-20 21:20 <REP> d-------- C:\Program Files\Fichiers communs\Cisco Systems
    2008-06-17 14:25 . 2008-06-17 14:25 <REP> d-------- C:\Program Files\OpenAL
    2008-06-17 14:25 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
    2008-06-17 14:25 . 2008-06-17 14:25 413,696 --a------ C:\WINDOWS\system32\wrap_oal.dll
    2008-06-17 14:25 . 2008-06-17 14:25 110,592 --a------ C:\WINDOWS\system32\OpenAL32.dll
    2008-06-15 22:19 . 2008-06-17 22:58 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-06-13 14:53 . 2008-06-13 14:53 278,728 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
    2008-06-13 14:53 . 2008-06-13 14:53 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
    2008-06-13 13:54 . 2008-06-12 12:22 139,264 --a------ C:\WINDOWS\enef.exe
    2008-06-13 13:54 . 2008-06-12 12:22 81,920 --a------ C:\WINDOWS\pebgkxwq.exe
    2008-06-13 13:49 . 2008-06-13 13:49 <REP> d-------- C:\Program Files\Fichiers communs\BOONTY Shared
    2008-06-13 13:49 . 2008-06-13 13:49 <REP> d-------- C:\Documents and Settings\All Users\Application Data\BOONTY
    2008-06-13 13:48 . 2008-06-13 13:48 <REP> d-------- C:\Program Files\BoontyGames
    2008-06-13 13:48 . 2008-06-13 13:48 <REP> d-------- C:\Program Files\Boonty
    2008-05-29 19:47 . 2008-05-29 19:47 44 --a------ C:\WINDOWS\wininit.ini
    2008-05-29 17:05 . 2008-05-29 17:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\DrivingSpeed2
    2008-05-29 17:02 . 2008-05-29 17:03 <REP> d-------- C:\Program Files\DrivingSpeed2
    2008-05-22 20:12 . 2008-06-15 22:52 <REP> d-------- C:\Program Files\Spyware-Secure

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-20 22:43 --------- d-----w C:\Documents and Settings\Nono\Application Data\OpenOffice.org2
    2008-06-17 17:54 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-06-14 12:00 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
    2008-06-05 23:30 --------- d-----w C:\Documents and Settings\Nono\Application Data\uTorrent
    2008-05-31 20:21 --------- d-----w C:\Documents and Settings\Nono\Application Data\dvdcss
    2008-05-29 17:46 --------- d-----w C:\Program Files\Gamenext
    2008-05-10 13:08 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
    2008-05-10 13:07 --------- d-----w C:\Program Files\Fichiers communs\Oberon Media
    2008-05-06 09:24 --------- d-----w C:\Program Files\MSXML 4.0
    2008-05-01 16:43 --------- d-----w C:\Program Files\eMule
    2008-05-01 11:00 --------- d-----w C:\Documents and Settings\Nono\Application Data\Samsung
    2008-04-30 06:55 --------- d-----w C:\Program Files\Samsung
    2008-04-25 10:01 --------- d-----w C:\Program Files\Windows Media Connect 2
    2008-04-25 09:57 --------- d-----w C:\Program Files\Fichiers communs\Real
    2008-04-24 22:13 --------- d-----w C:\Program Files\MarkAny
    2008-04-24 12:16 --------- d-----w C:\Program Files\Real
    2008-04-22 13:02 --------- d-----w C:\Program Files\AGEIA Technologies
    2008-04-22 13:01 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-04-22 12:53 --------- d-----w C:\Program Files\Ubisoft
    2008-04-22 12:52 --------- d-----w C:\Documents and Settings\Nono\Application Data\InstallShield
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3FFFCBB4-21BA-4013-A02E-B9A578EA7860}]
    C:\WINDOWS\system32\byXrSMfF.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{461EBA7A-EACA-430D-8291-978519B09A58}]
    C:\WINDOWS\system32\mlJbXrSl.dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{661F84EB-C970-4768-983F-5218FF758167}]
    C:\Documents and Settings\Nono\Local Settings\Temporary Internet Files\Content.IE5\U9W3058X\3077ahntdksr[1].dll

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA7CA3F2-840A-462C-8C8E-F08B8AD92802}]
    C:\WINDOWS\system32\khfDuRhI.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
    "Steam"="C:\jeux\Steam.exe" [2008-06-17 02:07 1271032]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26 7700480]
    "nwiz"="nwiz.exe" [2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe]
    "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 13:26 86016]
    "Acrobat Assistant 7.0"="c:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 03:12 483328]
    "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 15:27 385024]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "SMSTray"="C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe" [2007-02-23 16:32 126976]
    "MAAgent"="C:\Program Files\MarkAny\ContentSafer\MAAgent.exe" [2007-01-30 20:36 57344]
    "VadeRetro Outlook"="C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe" [2008-02-20 18:48 87552]
    "VadeRetro Desktop"="C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe" [2008-04-10 10:00 1054208]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 16:09 15360]

    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{88485281-8b4b-4f8d-9ede-82e29a064277}"= C:\PROGRA~1\MarkAny\CONTEN~1\MACSMA~1.DLL [2004-11-23 16:51 192512]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\Program Files\\uTorrent\\uTorrent.exe"=
    "C:\\WINDOWS\\system32\\muzapp.exe"=
    "C:\\jeux\\Ghost Recon Advanced Warfighter 2\\graw2.exe"=
    "C:\\jeux\\Ghost Recon Advanced Warfighter 2\\graw2_dedicated.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\DrivingSpeed2\\DrivingSpeed.exe"=

    R3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 17:23]
    S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2008-06-13 13:49]

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-06-02 10:00:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-21 00:43:37
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.bin
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\WINDOWS\SoftwareDistribution\Download\e4432b4388f0c801748823e67356ba62\update\update.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-21 0:46:26 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-06-20 22:46:24

    Pre-Run: 211,846,262,784 octets libres
    Post-Run: 213,340,274,688 octets libres

    196 --- E O F --- 2008-05-18 15:33:57
    0
  10. trikoti
     
    Re

    Tu m'avais demandé un nouveau rapport de hijack this...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:03:24, on 21/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\Core\smax4pnp.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Nono\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {3FFFCBB4-21BA-4013-A02E-B9A578EA7860} - C:\WINDOWS\system32\byXrSMfF.dll (file missing)
    O2 - BHO: (no name) - {461EBA7A-EACA-430D-8291-978519B09A58} - C:\WINDOWS\system32\mlJbXrSl.dll (file missing)
    O2 - BHO: (no name) - {661F84EB-C970-4768-983F-5218FF758167} - C:\Documents and Settings\Nono\Local Settings\Temporary Internet Files\Content.IE5\U9W3058X\3077ahntdksr[1].dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: (no name) - {BA7CA3F2-840A-462C-8C8E-F08B8AD92802} - C:\WINDOWS\system32\khfDuRhI.dll (file missing)
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "c:\Program Files\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe
    O4 - HKLM\..\Run: [MAAgent] C:\Program Files\MarkAny\ContentSafer\MAAgent.exe
    O4 - HKLM\..\Run: [VadeRetro Outlook] C:\Program Files\Goto Software\Vade Retro\VrMoRegister.exe -s
    O4 - HKLM\..\Run: [VadeRetro Desktop] C:\Program Files\Goto Software\Vade Retro\Vaderetro_Mgr.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "C:\jeux\Steam.exe" -silent
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
    O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
    O8 - Extra context menu item: Convertir en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://c:\Program Files\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    0
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut trikoti,

    Copie le texte ci-dessous :

    File::
    C:\WINDOWS\enef.exe
    C:\WINDOWS\pebgkxwq.exe
    C:\WINDOWS\wininit.ini

    Folder::
    C:\Program Files\Fichiers communs\BOONTY Shared
    C:\Documents and Settings\All Users\Application Data\BOONTY
    C:\Program Files\BoontyGames
    C:\Program Files\Boonty
    C:\Program Files\Spyware-Secure

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3FFFCBB4-21BA-4013-A02E-B9A578EA7860}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{461EBA7A-EACA-430D-8291-978519B09A58}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{661F84EB-C970-4768-983F-5218FF758167}]
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BA7CA3F2-840A-462C-8C8E-F08B8AD92802}]

    Driver::
    Boonty Games

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

    S'il n'y a pas de rédémarrage, poste quand même les rapports.

    @+
    0