Pop-ups intempestifs Résolu

Question

Bonjour,

J'ai ouvert il y a quelques jours et depuis des pop-ups s'activent quand je navigue sur Internet (Types Poker en Ligne ou faux antivirus). Ma navigation Internet est également ralentie et mes MAJ du centre de sécurité Windows se désactivent intempestivement...J'ai déjà passé plusieurs antivirus (Spybot, AVG, Virus Keeper) qui ont déjà trouvé certaines infections et les ont supprimées (Virtumonde) mais les pop-ups continuent et j'ai pourtant la barre google.

J'ai donc procédé à un scan HiJackThis, donc voici le log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:21:14, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\iTunes\iTunes.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\AxBx\VirusKeeper 2005 Pro\vk_scanprocess.exe
C:\Program Files\Safari\Safari.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [08b8ccba] rundll32.exe "C:\WINDOWS\system32\wfdrrrdf.dll",b
O4 - HKLM\..\Run: [BM0b8bff26] Rundll32.exe "C:\WINDOWS\system32\lystpsvx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Eric\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Utilisateur anonyme · Accepted Answer

salut

ma main a couper que c du vundo : C:\WINDOWS\system32\wfdrrrdf.dll

sandul · Answer

Salut,

Oui, des chargements de dll bizarres comme
O4 - HKLM\..\Run: [08b8ccba] rundll32.exe "C:\WINDOWS\system32\wfdrrrdf.dll",b
O4 - HKLM\..\Run: [BM0b8bff26] Rundll32.exe "C:\WINDOWS\system32\lystpsvx.dll",s 

Je pense que virtumonde (ou un autre) est encore présent dans les parages. Essaies MBAM (http://www.commentcamarche.net/forum/affich 6780354 mbam spybot et registre), suis les instructions du post 1.

++

Informatik8 · Answer

MBAM a mis 29 éléments en quarantaine mais au redemarrage quand je relance un scan, il trouve de nouveaux éléments infectés...Dois-je désactiver la restauration systeme temporairement?

Informatik8 · Answer

J'ai effectué plusieurs scans MBAM, mais il retrouve toujours celui-ci :

http://img46.imageshack.us/img46/5024/malwareye2.png

Et les pop-ups continuent...

Utilisateur anonyme · Answer

post nous le log : 

Lance malwaresbyte puis va dans l'onglet log/rapport, puis ouvre le dernier rapport en date.
Un bloc note devrait s'ouvrir. Copie son contenu et colle le dans ta prochaine réponse.


Effectue ceci : 

Télécharge VirtumundoBeGone sur ton bureau .
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
=> double-clic sur VirtumundoBeGone.exe
=> Suis les instructions à l'écran
=> Quand le scan est terminé, enregistre le rapport.
=> Copie/Colle le ici avec l'autre



Ensuite rend toi a cette adresse : 

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe 
Clique droit sur HijackThis.exe puis Renommer. Renomme le en monjack

cela devrai donner ceci : 

D:\Program Files\Trend Micro\HijackThis\monjack.exe 

ensuite post un nouveau rapport hijackthis

Informatik8 · Answer

@Sandul : Oui j'ai fait ces 2 actions, mais j'ai pris le screen avant de le faire ;)

@Tenshi, voici d'abord le log MBAM du dernier scan :

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 871

11:05:29 24/06/2008
mbam-log-6-24-2008 (11-05-29).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 129553
Temps écoulé: 35 minute(s), 57 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)





Ensuite le log de VirtumundoBeGone :


[06/24/2008, 11:30:53] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Eric\Bureau\VirtumundoBeGone.exe" )
[06/24/2008, 11:31:21] - Detected System Information:
[06/24/2008, 11:31:21] -  Windows Version: 5.1.2600, Service Pack 2
[06/24/2008, 11:31:21] -  Current Username: Eric (Admin)
[06/24/2008, 11:31:21] -  Windows is in NORMAL mode.
[06/24/2008, 11:31:21] - Searching for Browser Helper Objects:
[06/24/2008, 11:31:21] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[06/24/2008, 11:31:21] -  BHO 2: {544f1c68-682a-4683-9df7-41876897ea3b} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  Checking for HKLM\...\Winlogon\Notify\iunkntvh
[06/24/2008, 11:31:21] -  Key not found: HKLM\...\Winlogon\Notify\iunkntvh, continuing.
[06/24/2008, 11:31:21] -  BHO 3: {5690617E-E433-4820-ADFD-0C16B818989E} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  No filename found. Continuing.
[06/24/2008, 11:31:21] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[06/24/2008, 11:31:21] -  BHO 5: {76889391-925A-435F-81F9-D783E3756643} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  No filename found. Continuing.
[06/24/2008, 11:31:21] -  BHO 6: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[06/24/2008, 11:31:21] -  BHO 7: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[06/24/2008, 11:31:21] -  BHO 8: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[06/24/2008, 11:31:21] -  BHO 9: {CB15FBBF-00BC-4261-A23F-045BDDEDF2B1} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  No filename found. Continuing.
[06/24/2008, 11:31:21] -  BHO 10: {D1E212A8-2C18-4F91-AE69-EB6503184BB9} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  No filename found. Continuing.
[06/24/2008, 11:31:21] -  BHO 11: {EB3F9C4B-DCA0-468F-904E-D6A3874F4412} ()
[06/24/2008, 11:31:21] - WARNING: BHO has no default name. Checking for Winlogon reference.
[06/24/2008, 11:31:21] -  No filename found. Continuing.
[06/24/2008, 11:31:21] - Finished Searching Browser Helper Objects
[06/24/2008, 11:31:21] - Finishing up...
[06/24/2008, 11:31:21] - Nothing found! Exiting...


Et enfin le log de HiJackThis renommé :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:33:28, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {b3ae7986-7814-7fd9-3864-a28686c1f445} - {544f1c68-682a-4683-9df7-41876897ea3b} - C:\WINDOWS\system32\iunkntvh.dll
O2 - BHO: (no name) - {5690617E-E433-4820-ADFD-0C16B818989E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {76889391-925A-435F-81F9-D783E3756643} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {CB15FBBF-00BC-4261-A23F-045BDDEDF2B1} - (no file)
O2 - BHO: (no name) - {D1E212A8-2C18-4F91-AE69-EB6503184BB9} - (no file)
O2 - BHO: (no name) - {EB3F9C4B-DCA0-468F-904E-D6A3874F4412} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Eric\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Utilisateur anonyme · Answer

redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général).

(tuto ici : http://www.coupdepoucepc.com/modules/news/article.php?storyid=253


puis refait un scan complet de MBAM, revient poster le rapport.


-----------------



ensuite effectue ceci : (en mode normal ou en mode sans echec)

Ouvre ce lien :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

pour télécharger lopxp de moe.

Enregistre le fichier Lopxpsetup.exe sur ton bureau.

Double clic sur son icône pour lancer l'installation

Sur ton bureau, une nouvelle icône est apparue : lopxp (avec une petite roue dentée).

Double clique sur lopxp.

Au menu, choisir l'option 1

Patiente jusqu'à que l'on demande d'appuyer sur une touche. Appuye !

Le bloc-notes s'ouvre. Copie/colle le contenu dans ta réponse.

Informatik8 · Answer

Rapport MBAM :

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 871

17:43:42 24/06/2008
mbam-log-6-24-2008 (17-43-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 129937
Temps écoulé: 2 hour(s), 41 minute(s), 51 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Je telecharge maintenant Lopxp

Informatik8 · Answer

# Rapport Lopxp fait le 24/06/2008 à 17:49:06
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008

  Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\iexplore.exe"  (3184)

========== Listing des dossiers Application Data

+- C:\Documents and Settings\Administrateur\Application Data

 2006-11-22 à 14:48:14 - Microsoft 

+- C:\Documents and Settings\Administrateur\Local Settings\Application Data

 2007-05-06 à 12:57:11 - Microsoft 

+- C:\Documents and Settings\All Users\Application Data

 2007-05-13 à 18:50:25 - Adobe 
 2007-10-13 à 16:33:08 - Apple 
 2007-10-13 à 16:35:18 - Apple Computer
 2007-06-12 à 11:41:23 - avg7 
 2008-02-24 à 20:27:17 - Google 
 2007-05-13 à 19:40:58 - Grisoft 
 2007-10-20 à 20:57:06 - Lavasoft 
 2007-08-21 à 10:24:28 - Logishrd 
 2008-06-20 à 08:35:25 - Malwarebytes 
 2007-06-12 à 18:31:47 - Messenger Plus!
 2008-03-01 à 18:57:53 - Microsoft 
 2008-06-18 à 18:45:58 - Spybot - Search & Destroy
 2008-05-24 à 10:29:51 - TrackMania 
 2007-06-12 à 11:57:56 - Windows Genuine Advantage
 2008-05-07 à 22:37:24 - WLInstaller 

+- C:\Documents and Settings\Eric\Application Data

 2008-01-30 à 17:18:07 - AccurateRip 
 2007-12-25 à 17:58:26 - Adobe 
 2007-06-10 à 19:33:14 - AdobeUM 
 2008-04-09 à 14:00:17 - Apple Computer
 2008-06-23 à 07:13:20 - AVG7 
 2008-03-13 à 20:48:39 - dvdcss 
 2007-08-05 à 21:16:18 - Google 
 2007-05-13 à 19:32:22 - Help 
 2006-11-22 à 14:56:26 - Identities 
 2008-04-14 à 09:46:41 - LimeWire 
 2007-06-17 à 15:57:28 - Macromedia 
 2008-06-20 à 08:35:30 - Malwarebytes 
 2007-06-21 à 11:37:39 - Media Player Classic
 2008-02-05 à 21:48:19 - Microsoft 
 2008-06-17 à 11:50:04 - Mozilla 
 2007-09-07 à 21:59:51 - ScummVM 
 2008-06-18 à 09:10:02 - Steinberg 
 2008-04-14 à 19:41:04 - Sun 
 2008-06-23 à 11:41:47 - uTorrent 
 2007-06-12 à 14:06:45 - vlc 
 2007-06-14 à 13:30:57 - WinRAR 

+- C:\Documents and Settings\Eric\Local Settings\Application Data

 2007-06-10 à 19:32:46 - Adobe 
 2007-10-12 à 21:35:07 - Ahead 
 2007-10-13 à 16:33:37 - Apple 
 2008-04-09 à 14:00:17 - Apple Computer
 2007-06-12 à 13:19:44 - ApplicationHistory 
 2008-02-24 à 20:29:03 - Google 
 2007-05-13 à 19:32:22 - Help 
 2007-06-12 à 18:50:40 - Identities 
 2007-08-21 à 11:40:55 - Logitech-LS 
 2008-06-16 à 08:23:24 - Microsoft 
 2008-06-17 à 11:50:04 - Mozilla 
 2007-08-21 à 12:21:04 - WMTools Downloaded Files

========== Listing du dossier Program Files

+- C:\Program Files

 2007-05-13 à 18:49:29 - Adobe 
 2007-05-13 à 19:42:22 - Ahead 
 2008-02-21 à 23:54:37 - Alcohol Soft
 2007-10-13 à 16:33:34 - Apple Software Update
 2007-05-13 à 19:28:34 - ATI Technologies
 2007-05-13 à 18:06:55 - AvRack 
 2007-05-13 à 19:44:16 - AxBx 
 2007-06-28 à 12:20:47 - CCleaner 
 2007-06-10 à 20:06:48 - Common Files
 2006-11-22 à 14:46:01 - ComPlus Applications
 2008-02-03 à 20:09:46 - CONEXANT 
 2007-06-29 à 21:46:06 - DivX 
 2007-10-20 à 20:24:30 - FBM Software
 2008-03-01 à 18:57:35 - Fichiers communs
 2007-08-28 à 17:37:47 - FileZilla 
 2007-06-10 à 20:04:57 - Free.fr 
 2008-05-29 à 20:07:11 - Google 
 2007-05-13 à 19:40:58 - Grisoft 
 2007-06-28 à 15:11:46 - Guitar Pro 5
 2006-11-24 à 22:09:42 - Hewlett-Packard 
 2006-11-22 à 21:55:41 - hp deskjet 5550 series
 2008-06-02 à 18:55:10 - IDoser v4
 2008-02-03 à 20:37:28 - InstallShield Installation Information
 2008-06-11 à 20:10:50 - Internet Explorer
 2008-04-09 à 13:02:06 - iPod 
 2008-04-14 à 19:36:55 - Java 
 2007-05-13 à 19:24:34 - Labtec 
 2007-08-21 à 11:55:56 - Ligos 
 2007-10-22 à 17:32:27 - LimeWire 
 2007-08-21 à 11:36:23 - Logitech 
 2008-06-24 à 15:49:12 - Lopxp 
 2007-08-17 à 10:54:46 - Marvell 
 2007-08-19 à 14:31:40 - Maxis 
 2007-06-12 à 13:26:41 - Messenger 
 2008-04-08 à 19:59:22 - Messenger Plus! Live
 2007-12-10 à 18:32:45 - MessengerDiscovery 
 2008-03-02 à 18:43:48 - Microsoft CAPICOM 2.1.0.2
 2006-11-22 à 14:48:47 - microsoft frontpage
 2007-06-19 à 20:05:09 - Microsoft Office
 2007-06-19 à 20:03:27 - Microsoft.NET 
 2007-06-12 à 12:52:09 - Movie Maker
 2008-06-20 à 20:40:40 - Mozilla Firefox
 2006-11-22 à 14:45:51 - MSN 
 2006-11-22 à 14:45:42 - MSN Gaming Zone
 2007-06-12 à 12:49:59 - NetMeeting 
 2007-06-12 à 18:42:03 - Outlook Express
 2007-05-13 à 19:38:39 - PowerPoint Viewer
 2008-04-09 à 13:01:09 - QuickTime 
 2007-05-13 à 18:06:52 - Realtek AC97
 2007-05-13 à 18:06:55 - Realtek Sound Manager
 2008-04-09 à 13:06:42 - Safari 
 2006-11-22 à 14:45:51 - Services en ligne
 2008-01-29 à 21:19:55 - SMC 
 2008-04-14 à 19:37:13 - Sun 
 2008-03-15 à 20:59:24 - Tetris 
 2008-04-18 à 11:41:26 - TmNationsForever 
 2006-11-22 à 14:56:21 - Uninstall Information
 2008-02-03 à 20:22:32 - VIA 
 2007-06-12 à 13:57:49 - VideoLAN 
 2007-06-18 à 18:02:27 - Windows Journal Viewer
 2008-03-01 à 18:57:27 - Windows Live
 2007-09-08 à 17:58:49 - Windows Media Connect 2
 2007-09-08 à 17:58:47 - Windows Media Player
 2007-06-12 à 12:49:54 - Windows NT
 2007-06-10 à 19:36:59 - WindowsUpdate 
 2007-06-14 à 13:30:39 - WinRAR 
 2006-11-22 à 14:48:47 - xerox 
 2007-07-15 à 15:28:49 - Yahoo! 

========== Tâches planifiées

AppleSoftwareUpdate.job: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -task

========== Clés registre


========== Bloqueur popups Internet Explorer

 zonenxt.msn-ppe.com
 zone.msn.com
 www.slappyto.net
 www.azlyrics.com
 www.canalchat.com

==========    Suggestion ( /!\ Nécessite une interprétation.)    ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -



Voilà pour le log...

Utilisateur anonyme · Answer

Télécharge Clean.zip de Malekal.

Comment l'utiliser : http://mickael.barroux.free.fr/securite/clean.php
		     https://www.malekal.com/supprimer-virus-desinfecter-pc/#mozTocId711944

Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd
une fenêtre noire va apparaître pendant un instant, laisse la ouverte.
Choisis l'option 1 puis patiente
Poste le rapport obtenu

S’il te demande d’uploader un fichier, tu le fais…
pour retrouver le rapport : double clique sur => C => double clique sur " rapport_clean txt.
et copie/colle le sur ta prochaine réponse .

Informatik8 · Answer

24/06/2008 a 17:55:36,48 
 
*** Recherche des fichiers dans C: 
 
*** Recherche des fichiers dans C:\WINDOWS\ 
 
*** Recherche des fichiers dans C:\WINDOWS\system32 
C:\WINDOWS\system32\mcrh.tmp FOUND 
C:\WINDOWS\system32\SpoonUninstall.exe FOUND 
 
*** Recherche des fichiers dans C:\Program Files 



Voilà (j'ai aussi uploadé le fichier demandé)...Commencez-vous à cerner la chose ?

Utilisateur anonyme · Answer

NETTOYAGE :

1) Redémarre en mode sans échec

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuyer sur [Entrée]
Il te faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.

2) Cleanzip

_ Ouvre le dossier Clean qui se trouve sur ton bureau.
_ Double-clique sur clean.cmd.
Une fenêtre noire va apparaître,

choisis l'option 2.
Clean va maintenant supprimer les fichiers infectés,

3) Rapport
_ Appuis sur la touche ENTREE du clavier pour ouvrir le rapport. tu l'enregistrer si besoin.
(menu Edition / Enregistrer sous).
Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant :
"rapport_clean.txt" à la racine de votre disque dur (ex : C:\rapport_clean.txt).

Comment faire :Tuto
http://mickael.barroux.free.fr/securite/clean.php

Redémarre en mode normal et poste le rapport qui se trouve ici C:\rapport_clean.txt et un nouvel HJT's stp !

Utilisateur anonyme · Answer

Après avoir fait le nettoyage de cleanzip et le rapport hijack effectue ceci : 

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 


Je reviendrai un peu plus tard

Informatik8 · Answer

Script execute en mode sans echec 
Rapport clean par Malekal_morte - http://www.malekal.com 
Script execute en mode sans echec 24/06/2008 a 18:06:04,79 

Microsoft Windows XP [version 5.1.2600]
 
*** Suppression des fichiers dans C: 
 
*** Suppression des fichiers dans C:\WINDOWS\ 
 
*** Suppression des fichiers dans C:\WINDOWS\system32 
tentative de suppression de C:\WINDOWS\system32\mcrh.tmp 
tentative de suppression de C:\WINDOWS\system32\SpoonUninstall.exe 
 
*** Suppression des fichiers dans C:\Program Files 
 
*** Suppression des clefs du registre effectuee.. 
*** Fin du rapport ! 




-----------------------



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:57, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
D:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Trend Micro\HijackThis\MonJack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: {b3ae7986-7814-7fd9-3864-a28686c1f445} - {544f1c68-682a-4683-9df7-41876897ea3b} - C:\WINDOWS\system32\iunkntvh.dll
O2 - BHO: (no name) - {5690617E-E433-4820-ADFD-0C16B818989E} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {76889391-925A-435F-81F9-D783E3756643} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {CB15FBBF-00BC-4261-A23F-045BDDEDF2B1} - (no file)
O2 - BHO: (no name) - {D1E212A8-2C18-4F91-AE69-EB6503184BB9} - (no file)
O2 - BHO: (no name) - {EB3F9C4B-DCA0-468F-904E-D6A3874F4412} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Eric\Menu Démarrer\Programmes\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=https://www.free.fr/freebox/index.html
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

Informatik8 · Answer

ComboFix 08-06-20.4 - Eric 2008-06-24 18:19:08.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.594 [GMT 2:00] Endroit: C:\Documents and Settings\Eric\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM0b8bff26.xml C:\WINDOWS\Downloaded Program Files\setup.inf C:\WINDOWS\pskt.ini C:\WINDOWS\system32\bkijhtho.ini C:\WINDOWS\system32\brfdjxwu.dll C:\WINDOWS\system32\dJkmUvut.ini C:\WINDOWS\system32\dJkmUvut.ini2 C:\WINDOWS\system32\dmrhhhjv.dll C:\WINDOWS\system32\fkoeysuh.dll C:\WINDOWS\system32\itjgpiwe.ini C:\WINDOWS\system32\iunkntvh.dll C:\WINDOWS\system32\klgfnwqu.ini C:\WINDOWS\system32\lystpsvx.dll C:\WINDOWS\system32\mkyopttu.dll C:\WINDOWS\system32 VuCdfii.ini C:\WINDOWS\system32 VuCdfii.ini2 C:\WINDOWS\system32\odmthumc.dll C:\WINDOWS\system32\ouwartkn.dll C:\WINDOWS\system32\pgkmcukv.ini C:\WINDOWS\system32\PpoqrBeg.ini C:\WINDOWS\system32\PpoqrBeg.ini2 C:\WINDOWS\system32\qckinxhg.dll C:\WINDOWS\system32 syxfulm.dll C:\WINDOWS\system32 EhgiRqr.ini C:\WINDOWS\system32 EhgiRqr.ini2 C:\WINDOWS\system32 icaamua.dll C:\WINDOWS\system32\vevfgffh.dll C:\WINDOWS\system32\wvDccMoq.ini C:\WINDOWS\system32\wvDccMoq.ini2 C:\WINDOWS\system32\xjevvtkn.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-24 to 2008-06-24 )))))))))))))))))))))))))))))))))))) . 2008-06-24 17:55 . 2008-06-24 17:55 1,738,762 --a------ C:\upload_moi_ELECTRIC-KT12NF.tar.gz 2008-06-24 17:48 . 2008-06-24 17:49 d-------- C:\Program Files\Lopxp 2008-06-20 10:35 . 2008-06-20 10:35 d-------- C:\Documents and Settings\Eric\Application Data\Malwarebytes 2008-06-20 10:35 . 2008-06-20 10:35 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-06-20 10:35 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-20 10:35 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-19 21:08 . 2008-06-20 11:12 86,016 --------- C:\WINDOWS\system32\wfdrrrdf.dll 2008-06-18 21:49 . 2008-06-18 21:49 d-------- C:\VundoFix Backups 2008-06-18 21:46 . 2008-06-18 21:46 1,388,544 --a------ C:\WINDOWS\system32\msvbvm60.dll 2008-06-18 11:28 . 2008-06-18 11:52 32,768 --a------ C:\WINDOWS\ReBirth RB-338 2.prf 2008-06-18 11:23 . 1998-07-30 14:24 41,216 --ah----- C: b20crk.dat 2008-06-17 22:39 . 2008-06-18 20:37 617 --a------ C:\WINDOWS\wininit.ini 2008-06-17 22:12 . 2008-06-18 20:45 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-06-17 14:51 . 2008-06-18 11:10 d-------- C:\Documents and Settings\Eric\Application Data\Steinberg 2008-06-17 13:50 . 2008-06-17 13:50 0 --a------ C:\WINDOWS sreg.dat 2008-06-11 14:18 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys 2008-06-01 15:53 . 2008-06-01 15:54 d-------- C:\WINDOWS\system32\electricsheep-cache 2008-06-01 15:53 . 2008-06-01 15:53 48,456 --a------ C:\WINDOWS\system32\UninstallElectricSheep.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-23 11:41 --------- d-----w C:\Documents and Settings\Eric\Application Data\uTorrent 2008-06-23 07:13 --------- d-----w C:\Documents and Settings\Eric\Application Data\AVG7 2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys 2008-06-02 18:55 --------- d-----w C:\Program Files\IDoser v4 2008-05-29 20:07 --------- d-----w C:\Program Files\Google 2008-05-27 06:00 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7 2008-05-24 10:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania 2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers mcast.sys 2008-05-07 22:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360] "LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 12:42 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-07-11 14:48 188416] "SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 77824 C:\WINDOWS\SOUNDMAN.EXE] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-30 21:05 344064] "AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-15 11:21 579584] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "VirusKeeper"="C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe" [2006-06-07 12:40 1215488] "LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 17:32 221184] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 15:24 458752] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 15:14 217088] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-20 01:09 160768] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360] "AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-23 19:04 219136] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.VP40"= vp4vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\WINDOWS\system32\rtcshare.exe"= "C:\Program Files\VideoLAN\VLC\vlc.exe"= "C:\Documents and Settings\Eric\Bureau\mocheroom\utorrent.exe"= "C:\Documents and Settings\Eric\Bureau\AoE\empires2.exe"= "C:\Documents and Settings\Eric\Bureau\AoE\age2_x1.exe"= "D:\Program Files\Warcraft III\Warcraft III.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "D:\Program Files\LimeWire\LimeWire.exe"= "C:\Program Files\Internet Explorer\iexplore.exe"= "D:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\iTunes\iTunes.exe"= "C:\Program Files\TmNationsForever\TmForever.exe"= "C:\WINDOWS\system32\ElectricSheep.scr"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 S3 2802W;SMC2802W 2.4GHz 54 Mbps Wireless PCI Driver;C:\WINDOWS\system32\DRIVERS\2802W.sys [] S3 w3304an5;WN3X0X Wireless Adapter;C:\PROGRA~1\SMC\SMC280~1.4GH\INSTAL~1\WINXP\w3304an5.SYS [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{717dab47-795f-11dc-be22-0004e2d51fdf}] \Shell\AutoRun\command - E:\autoplay.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-04-29 14:31:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-24 18:23:09 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\ati2evxx.exe D:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Logitech\Video\FxSvr2.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-06-24 18:29:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-24 16:29:08 Pre-Run: 55,560,998,912 octets libres Post-Run: 55,513,223,168 octets libres 161 --- E O F --- 2008-06-20 10:11:42 _________________________________________________________________________________________ Au redemarrage, après la fin du scan, mes antivirus réactivés detectent des malware : Fdsv.exe, Grep.exe, Nircmd.exe, sed.exe et swreg.exe. Je les ai tous mis en quarantaine...Leur apparition MAINTENANT est-elle normale ? =/ Dois-je vider ma quarantaine ou restaurer ces fichiers ?

Informatik8 · Answer

swsc.exe, swxcacls.exe, Vfind.exe et zip.exe sont à rajouter à la liste de fichiers détectés par mon antivirus (VirusKeeper)

Utilisateur anonyme · Answer

supprime ^^

Informatik8 · Answer

Voilà tout est supprimé...Je ne mets pas encore le topic en tant que résolu (au cas ou les pop-ups reviennent dans la soirée), si tout est OK demain je considererais que c'est bon ;)


Merci beaucoup de donner de votre temps.

Utilisateur anonyme · Answer

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens)
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Informatik8 · Answer

-->- Recherche: 

C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Eric\Recent\HijackThis.lnk: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Eric\Recent\HijackThis.lnk: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !

Utilisateur anonyme · Answer

Bonjour :)
Merci chiquitine pour l'info ^^

>CFScript

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\system32\wfdrrrdf.dll
C:b20crk.dat
C:\WINDOWS
sreg.dat


Enregistre ce fichier sous le nom CFScript.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*]Une fenêtre bleue va apparaître: au message qui apparaît (Type 1 to continue, or 2 to abort) , tape 1 puis valide.
[*]Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

[*]Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Informatik8 · Answer

ComboFix 08-06-20.4 - Eric 2008-06-25 11:01:20.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.568 [GMT 2:00]
Endroit: C:\Documents and Settings\Eric\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Eric\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\rb20crk.dat
C:\WINDOWS\nsreg.dat
C:\WINDOWS\system32\wfdrrrdf.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\rb20crk.dat
C:\WINDOWS\nsreg.dat
C:\WINDOWS\system32\t.txt
C:\WINDOWS\system32\wfdrrrdf.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-25 to 2008-06-25 ))))))))))))))))))))))))))))))))))))
.

2008-06-24 17:55 . 2008-06-24 17:55 1,738,762 --a------ C:\upload_moi_ELECTRIC-KT12NF.tar.gz
2008-06-24 17:48 . 2008-06-24 17:49 <REP> d-------- C:\Program Files\Lopxp
2008-06-20 10:35 . 2008-06-20 10:35 <REP> d-------- C:\Documents and Settings\Eric\Application Data\Malwarebytes
2008-06-20 10:35 . 2008-06-20 10:35 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-20 10:35 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-20 10:35 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-18 21:46 . 2008-06-18 21:46 1,388,544 --a------ C:\WINDOWS\system32\msvbvm60.dll
2008-06-18 11:28 . 2008-06-18 11:52 32,768 --a------ C:\WINDOWS\ReBirth RB-338 2.prf
2008-06-17 22:39 . 2008-06-18 20:37 617 --a------ C:\WINDOWS\wininit.ini
2008-06-17 22:12 . 2008-06-18 20:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-06-17 14:51 . 2008-06-18 11:10 <REP> d-------- C:\Documents and Settings\Eric\Application Data\Steinberg
2008-06-11 14:18 . 2008-06-14 19:59 272,768 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-01 15:53 . 2008-06-01 15:54 <REP> d-------- C:\WINDOWS\system32\electricsheep-cache
2008-06-01 15:53 . 2008-06-01 15:53 48,456 --a------ C:\WINDOWS\system32\UninstallElectricSheep.exe

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 07:59 --------- d-----w C:\Documents and Settings\Eric\Application Data\AVG7
2008-06-23 11:41 --------- d-----w C:\Documents and Settings\Eric\Application Data\uTorrent
2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 18:55 --------- d-----w C:\Program Files\IDoser v4
2008-05-29 20:07 --------- d-----w C:\Program Files\Google
2008-05-27 06:00 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7
2008-05-24 10:29 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 22:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-07 05:15 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:15 1,293,824 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:41 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:41 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 194,144 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-06-08 14:44 196608]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-27 12:42 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe" [2002-07-11 14:48 188416]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 77824 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-30 21:05 344064]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-15 11:21 579584]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"VirusKeeper"="C:\Program Files\AxBx\VirusKeeper 2005 Pro\VirusKeeper.exe" [2006-06-07 12:40 1215488]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-07-19 17:32 221184]
"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-06-08 15:24 458752]
"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-06-08 15:14 217088]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="D:\Program Files\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-23 19:04 219136]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VP40"= vp4vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Documents and Settings\\Eric\\Bureau\\mocheroom\\utorrent.exe"=
"C:\\Documents and Settings\\Eric\\Bureau\\AoE\\empires2.exe"=
"C:\\Documents and Settings\\Eric\\Bureau\\AoE\\age2_x1.exe"=
"D:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"D:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\Internet Explorer\\iexplore.exe"=
"D:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\WINDOWS\\system32\\ElectricSheep.scr"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S3 2802W;SMC2802W 2.4GHz 54 Mbps Wireless PCI Driver;C:\WINDOWS\system32\DRIVERS\2802W.sys []
S3 w3304an5;WN3X0X Wireless Adapter;C:\PROGRA~1\SMC\SMC280~1.4GH\INSTAL~1\WINXP\w3304an5.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{717dab47-795f-11dc-be22-0004e2d51fdf}]
\Shell\AutoRun\command - E:\autoplay.exe

*Newly Created Service* - CATCHME
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-29 14:31:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 11:02:34
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-25 11:04:54
ComboFix-quarantined-files.txt 2008-06-25 09:04:21
ComboFix2.txt 2008-06-24 16:29:11

Pre-Run: 55,448,760,320 octets libres
Post-Run: 55,491,108,864 octets libres

134 --- E O F --- 2008-06-20 10:11:42

Tous les virus en .exe détectés precedemment ont été retrouvés par mon antivirus pendant le scan, et re-mis en quarantaine puis re-supprimés.

Un dossier sur C:/ suspect s'est crée, il se nomme "QooBox" dont voici le contenu :

http://img183.imageshack.us/img183/3614/qooboxwn7.png

Faut-il le supprimer ?

Utilisateur anonyme · Answer

ok relance toolcleaner puis effectue un scan en ligne 

Va sur ce site , /!\ Internet Explorer obligatoire /!\ (https://www.bitdefender.com/toolbox/ Clique sur ' J'accepte ' , Installe les ActiveX si necessaire ,et vérifie si ils sont bien configurés(http://www.inoculer.com/activex.php3 Clique sur ' installer ' puis ' click here to scan '( ou : cliquez ici pour scanner ).
Et poste moi le rapport. ( qui se trouve ici -> C:\windows\bdoscan8\scanres.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Tutorial : http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

Informatik8 · Answer

-->- Recherche: 

C:\Qoobox: trouvé !
C:\Documents and Settings\Eric\Bureau\ComboFix.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\Eric\Bureau\ComboFix.exe: supprimé !
C:\Qoobox: supprimé !


Mon antivirus detecte bdoscandel.exe pendant l'installation de Bitdefender, je fais quoi ?

Informatik8 · Answer

(J'ai ignoré le fichier après quelques recherches sur Google me confirmant que ce n'est pas un spyware)

Informatik8 · Answer

[General]
App	= "BitDefender Online Scanner v8"
Date	= 25:06:2008
Time	= 12:46:17
Scan Path	= A:\;C:\;D:\;H:\;

[Engines Info]
Virus Definitions	= 1263246
Engine build	= "AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)"
Scan plugins	= 16
Archive plugins	= 42
Unpack plugins	= 7
E-mail plugins	= 6
System plugins	= 5

[Scan Statistics]
Folders	= 7791
Files	= 233306
Archives	= 2174
Packed files	= 9989
Identified viruses	= 1
Infected files	= 1
Warnings	= 0
Suspect files	= 0
Disinfected files	= 0
Deleted files	= 1
Copied files	= 0
Moved files	= 0
Renamed files	= 0
I/O Errors	= 29

[Scan Settings]
SecondAction	= Delete
FirstAction	= Disinfect
Heuristics	= 1
Enable Warnings	= 1
Exclude Ext	= 
Extensions	= *;
Scan Emails	= 1
Scan Archives	= 1
Scan Packed	= 1
Scan Files	= 1
Scan Boot	= 1
Verify Memory	= 0

[Scan Results]
Line00000002	= "D:\Documents and Settings\****\Shared\STEINBERG the big pack.rar=>VST PLUGS\VST plugs procomp compresseur\VSTCMP25.EXE Infected with: Trojan.Generic.203720"
Line00000001	= "D:\Documents and Settings\****\Shared\STEINBERG the big pack.rar=>VST PLUGS\VST plugs procomp compresseur\VSTCMP25.EXE Deleted"
Line00000000	= "D:\Documents and Settings\****\Shared\STEINBERG the big pack.rar Update failed"


Les **** sont les noms de sessions que j'ai censuré ^^

Informatik8 · Answer

J'ai ouvert la version décompressée du dossier infecté qui traînait sur mon HD, mon antivirus a aussitôt mis en quarantaine le .exe que j'ai ensuite supprimé.


je fais un autre scan HJT je suppose maintenant ?

Utilisateur anonyme · Answer

le fichier compressé c'est un crack ? si oui supprime le, les cracks ou keygen ou autres sont à l'origine des infections

Informatik8 · Answer

C'est bon j'ai tout viré...Les pop-ups ont cessé (en fait ils avaient déjà cessé hier mais d'autres infections étaient encore là)

Merci pour votre aide.

Salutations,

Informatik

Pop-ups intempestifs

29 réponses

Votre réponse

Discussions similaires

Newsletters