Sujet Précédent Sujet Suivant

Malware Protecotr 2008

Fermé
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008 - 23 juin 2008 à 11:31
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 27 juin 2008 à 12:20
Bonjour tout le monde,

Je viens solliciter votre aide concernant un problème de virus qui s'est installé sur mon pc : Malware Protector 2008
Il est sur mon pc depuis fin Avril mais jusqu'à présent il ne faisait que ouvrir des fenêtres Internet ... Malheureusement, depuis ce week-end, un magnique fond d'écran "Warning! Spyware deteced on your computer! Install an antivirus or spyware remover to clean your computer" est apparu, ainsi qu’une fenêtre de pub pour Malware Protector 2008 que je ne peux pas fermer. Des applications de recherche de virus et de débogage se lancent automatiquement. Je ne peux pas désinstaller Malware Protector 2008 en plus …

Mon antivirus est Securitoo (F-Secure) que je paye ts les mois avec Orange.

Je ne suis pas très calé en informatique et je ne sais pas quoi faire… quelqu’un aurait-il l’amabilité de m’aider avec mon problème ?

Merci d’avance.
A voir également:

75 réponses

Précédent
Réponse 21 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
23 juin 2008 à 22:01
ComboFix 08-06-20.4 - Sébastien 2008-06-23 21:58:15.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1598 [GMT 2:00]
Endroit: C:\Documents and Settings\Sébastien\Bureau\C-Fix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008\How to Register Malware Protector 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008\License Agreement.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008\Malware Protector 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008\Register Malware Protector 2008.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Malware Protector 2008\Uninstall.lnk
C:\Documents and Settings\Sébastien\Application Data\shc7tuj0egbr
C:\Program Files\shc7tuj0egbr
C:\WINDOWS\system32\blphc1tuj0egbr.scr
C:\WINDOWS\system32\loadsftpf.dat
C:\WINDOWS\system32\lphc1tuj0egbr.exe
C:\WINDOWS\system32\phc1tuj0egbr.bmp
E:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 20:43 . 2008-06-23 20:43 <REP> d-------- C:\Documents and Settings\Sébastien\Application Data\Malwarebytes
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 20:42 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 20:42 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 20:08 . 2008-06-23 20:08 <REP> d-------- C:\Program Files\CCleaner
2008-06-23 19:08 . 2008-06-23 19:08 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-23 19:05 . 2008-06-23 19:15 <REP> d-------- C:\SDFix
2008-06-23 18:13 . 2008-06-23 18:14 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-06-23 17:35 . 2008-06-23 17:35 <REP> d-------- C:\Program Files\Trend Micro
2008-06-22 11:47 . 2004-08-05 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-06-11 22:16 . 2008-06-11 22:16 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-06-11 22:15 . 2008-06-11 22:15 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-06-11 22:15 . 2008-06-11 22:16 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-02 01:27 . 2008-06-02 01:27 <REP> d-------- C:\Documents and Settings\Sébastien\Application Data\vlc
2008-05-31 03:17 . 2008-06-09 00:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-31 03:17 . 2008-05-31 03:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-28 19:11 . 2008-05-28 19:11 <REP> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 16:52 --------- d-----w C:\Program Files\eMule
2008-06-04 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-06-03 21:56 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\Lavasoft
2008-05-20 19:20 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\teamspeak2
2008-05-17 18:02 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\dbzikwch
2008-05-17 09:50 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\Skype
2008-05-17 09:43 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\skypePM
2008-05-16 18:17 --------- d-----w C:\Program Files\Fichiers communs\Mozilla Shared
2008-05-16 18:17 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\dbzikwch
2008-05-12 16:52 --------- d-----w C:\Program Files\Windows Live
2008-05-12 16:52 --------- d-----w C:\Program Files\MSN Messenger
2008-05-12 16:52 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-05-11 20:40 --------- d-----w C:\Program Files\Skype
2008-05-11 20:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-05-11 20:39 --------- d-----w C:\Program Files\Fichiers communs\Skype
2008-05-04 01:39 5,632 ----a-w C:\WINDOWS\system32\drivers\StarOpen.sys
2008-04-27 19:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 12:00 2,770 ----a-w C:\WINDOWS\system32\tmp.reg
2008-04-26 19:04 --------- d-----w C:\Program Files\Orange
2008-04-26 19:03 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-04-26 18:32 --------- d-----w C:\Program Files\SAGEM
2008-04-26 18:32 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\InstallShield
2008-04-26 17:05 --------- d-----w C:\Program Files\Wanadoo
2008-04-25 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-24 06:10 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-04-23 18:28 20,608 ----a-w C:\WINDOWS\system32\drivers\zmpyoyvx.dat
2008-04-23 18:28 196,608 ----a-w C:\WINDOWS\system32\libssl32.dll
2008-04-23 18:28 1,015,808 ----a-w C:\WINDOWS\system32\libeay32.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84psjwcuuxz"="C:\WINDOWS\system32\84psjwcuuxz.exe" [2004-08-05 14:00 17408]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-03 00:27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-09 09:36 8527872]
"nwiz"="nwiz.exe" [2007-10-09 09:36 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-09 09:36 81920]
"DAEMON Tools-1033"="E:\daemon.exe" [2004-08-22 18:05 81920]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2002-07-22 19:34 135168]
"84psjwcuuxz"="C:\WINDOWS\system32\84psjwcuuxz.exe" [2004-08-05 14:00 17408]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 20:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 19:10 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\84psjwcuuxz.exe"=
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10493:TCP"= 10493:TCP:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:@xpsp2res.dll,-22009
"62206:TCP"= 62206:TCP:@xpsp2res.dll,-22009
"53179:TCP"= 53179:TCP:@xpsp2res.dll,-22009
"47869:TCP"= 47869:TCP:@xpsp2res.dll,-22009

R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
R2 BackWeb Client - 174112;Securitoo AntiVirus;C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE [2008-01-23 19:59]
R2 F-Secure AVP;F-Secure AVP;C:\Program Files\F-Secure\Anti-Virus\fsavp.sys [2001-05-25 11:44]
R2 F-Secure F-PROT;F-Secure F-PROT;C:\Program Files\F-Secure\Anti-Virus\fsfp.sys [2008-01-24 18:51]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Common\FSfilter.sys [2001-06-28 04:05]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Common\FSgk.sys [2001-06-28 04:05]
R2 F-Secure Orion;F-Secure Orion;C:\Program Files\F-Secure\Anti-Virus\fsorion.sys [2008-01-24 18:51]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Common\FSrec.sys [2001-06-28 04:05]
R2 FSpm;F-Secure Policy Manager;C:\Program Files\F-Secure\Common\FSPM.SYS [2002-01-24 19:55]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\F-Secure\fswsclds.exe [2008-01-24 18:52]
R2 mpbcwszj;PCI Bus k91ae Support;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]
R3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys [2003-05-08 03:00]
S1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\
\Shell\explore\Command - E:\RECYCLED\INFO.exe
\Shell\open\Command - E:\RECYCLED\INFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 21:59:17
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-23 22:00:00
ComboFix-quarantined-files.txt 2008-06-23 19:59:48

Pre-Run: 27,672,322,048 octets libres
Post-Run: 27,670,392,832 octets libres

162
0
Réponse 22 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
23 juin 2008 à 22:02
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:02:04, on 23/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [84psjwcuuxz] C:\WINDOWS\system32\84psjwcuuxz.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [84psjwcuuxz] C:\WINDOWS\system32\84psjwcuuxz.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: kswhazex - C:\WINDOWS\SYSTEM32\dbnmpntwb.dll
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 23 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
23 juin 2008 à 22:06
g d freeze assez regulierement et je ne peux plus cliquer sur rien .. alors je redemarre
0
Réponse 24 / 75
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 juin 2008 à 22:25
Voilà pour la suite et fais exactement ce qui suit :

1-Crée un doc texte sur ton bureau :
pointes ta souris sur ton bureau , click droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de crée :

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e9­42-b240-11dc-8f6c-806d6172696f}]


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :
!! Déconnectes toi,fermes toute tes application et désactive ton antivirus le temps de la manipe ( tu le réactiveras après ) !!

--->Sur ton bureau, fais un glisser avec ta souris le fichier CFScript sur l'icone de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touche à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
23 juin 2008 à 22:46
J'ai suivi t instructions .. g glissé le fichier ds C-Fix et il c relancer comme tt a lheure il m'a demandé si jacceptaie les termes (oui/non) j'ai cliqué oui puis il c lancé pareil que la 1ere fois ... je n'ai pas u a cliquer sur 1 pour continuer...
0
Réponse 26 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
23 juin 2008 à 23:01
tu veux que je post qd mm le rapport c-fix et le hijack this?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
23 juin 2008 à 23:25
Oui , pour je puisse voir si cette clé infecté a bien été suprimée ...
0
Réponse 27 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 08:18
Je le ferais en rentrant cet aprem. Je serai chez moi vers 16h30 ;) là c back to work -_-'
Dsl de te prendre tt ce tps et merci encore pour ton aide
A tte
0
Réponse 28 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 16:36
ComboFix 08-06-20.4 - Sébastien 2008-06-23 22:41:45.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1635 [GMT 2:00]
Endroit: C:\Documents and Settings\Sébastien\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\Sébastien\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

((((((((((((((((((((((((((((( Fichiers créés 2008-05-23 to 2008-06-23 ))))))))))))))))))))))))))))))))))))
.

2008-06-23 20:43 . 2008-06-23 20:43 <REP> d-------- C:\Documents and Settings\Sébastien\Application Data\Malwarebytes
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 20:42 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 20:42 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 20:08 . 2008-06-23 20:08 <REP> d-------- C:\Program Files\CCleaner
2008-06-23 19:08 . 2008-06-23 19:08 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-23 19:05 . 2008-06-23 19:15 <REP> d-------- C:\SDFix
2008-06-23 18:13 . 2008-06-23 18:14 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-06-23 17:35 . 2008-06-23 17:35 <REP> d-------- C:\Program Files\Trend Micro
2008-06-22 11:47 . 2004-08-05 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-06-11 22:16 . 2008-06-11 22:16 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-06-11 22:15 . 2008-06-11 22:15 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-06-11 22:15 . 2008-06-11 22:16 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-02 01:27 . 2008-06-02 01:27 <REP> d-------- C:\Documents and Settings\Sébastien\Application Data\vlc
2008-05-31 03:17 . 2008-06-09 00:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-31 03:17 . 2008-05-31 03:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-28 19:11 . 2008-05-28 19:11 <REP> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 16:52 --------- d-----w C:\Program Files\eMule
2008-06-04 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-06-03 21:56 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\Lavasoft
2008-05-20 19:20 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\teamspeak2
2008-05-17 18:02 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\dbzikwch
2008-05-17 09:50 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\Skype
2008-05-17 09:43 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\skypePM
2008-05-16 18:17 --------- d-----w C:\Program Files\Fichiers communs\Mozilla Shared
2008-05-16 18:17 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\dbzikwch
2008-05-12 16:52 --------- d-----w C:\Program Files\Windows Live
2008-05-12 16:52 --------- d-----w C:\Program Files\MSN Messenger
2008-05-12 16:52 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-05-11 20:40 --------- d-----w C:\Program Files\Skype
2008-05-11 20:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-05-11 20:39 --------- d-----w C:\Program Files\Fichiers communs\Skype
2008-05-04 01:39 5,632 ----a-w C:\WINDOWS\system32\drivers\StarOpen.sys
2008-04-27 19:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 12:00 2,770 ----a-w C:\WINDOWS\system32\tmp.reg
2008-04-26 19:04 --------- d-----w C:\Program Files\Orange
2008-04-26 19:03 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-04-26 18:32 --------- d-----w C:\Program Files\SAGEM
2008-04-26 18:32 --------- d-----w C:\Documents and Settings\Sébastien\Application Data\InstallShield
2008-04-26 17:05 --------- d-----w C:\Program Files\Wanadoo
2008-04-25 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-24 06:10 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-04-23 18:28 20,608 ----a-w C:\WINDOWS\system32\drivers\zmpyoyvx.dat
2008-04-23 18:28 196,608 ----a-w C:\WINDOWS\system32\libssl32.dll
2008-04-23 18:28 1,015,808 ----a-w C:\WINDOWS\system32\libeay32.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-23_21.59.43,29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-23 19:54:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-23 20:38:20 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84psjwcuuxz"="C:\WINDOWS\system32\84psjwcuuxz.exe" [2004-08-05 14:00 17408]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-03 00:27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-09 09:36 8527872]
"nwiz"="nwiz.exe" [2007-10-09 09:36 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-09 09:36 81920]
"DAEMON Tools-1033"="E:\daemon.exe" [2004-08-22 18:05 81920]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2002-07-22 19:34 135168]
"84psjwcuuxz"="C:\WINDOWS\system32\84psjwcuuxz.exe" [2004-08-05 14:00 17408]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 20:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 19:10 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\84psjwcuuxz.exe"=
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10493:TCP"= 10493:TCP:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:@xpsp2res.dll,-22009
"62206:TCP"= 62206:TCP:@xpsp2res.dll,-22009
"53179:TCP"= 53179:TCP:@xpsp2res.dll,-22009
"47869:TCP"= 47869:TCP:@xpsp2res.dll,-22009

R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
R2 BackWeb Client - 174112;Securitoo AntiVirus;C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE [2008-01-23 19:59]
R2 F-Secure AVP;F-Secure AVP;C:\Program Files\F-Secure\Anti-Virus\fsavp.sys [2001-05-25 11:44]
R2 F-Secure F-PROT;F-Secure F-PROT;C:\Program Files\F-Secure\Anti-Virus\fsfp.sys [2008-01-24 18:51]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Common\FSfilter.sys [2001-06-28 04:05]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Common\FSgk.sys [2001-06-28 04:05]
R2 F-Secure Orion;F-Secure Orion;C:\Program Files\F-Secure\Anti-Virus\fsorion.sys [2008-01-24 18:51]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Common\FSrec.sys [2001-06-28 04:05]
R2 FSpm;F-Secure Policy Manager;C:\Program Files\F-Secure\Common\FSPM.SYS [2002-01-24 19:55]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\F-Secure\fswsclds.exe [2008-01-24 18:52]
R2 mpbcwszj;PCI Bus k91ae Support;C:\WINDOWS\System32\svchost.exe [2004-08-05 14:00]
R3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys [2003-05-08 03:00]
S1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\
\Shell\explore\Command - E:\RECYCLED\INFO.exe
\Shell\open\Command - E:\RECYCLED\INFO.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 22:42:42
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-06-23 22:43:27
ComboFix-quarantined-files.txt 2008-06-23 20:43:14
ComboFix2.txt 2008-06-23 20:35:52
ComboFix3.txt 2008-06-23 20:00:01

Pre-Run: 27,643,109,376 octets libres
Post-Run: 27,670,441,984 octets libres

154
0
Réponse 29 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 16:37
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:36:56, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [84psjwcuuxz] C:\WINDOWS\system32\84psjwcuuxz.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [84psjwcuuxz] C:\WINDOWS\system32\84psjwcuuxz.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: kswhazex - C:\WINDOWS\SYSTEM32\dbnmpntwb.dll
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 30 / 75
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juin 2008 à 16:45
Bien ... il ya pas mal de chose qui m'intrigue sur ton rapport hijack ...

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\84psjwcuuxz.exe
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ).


--->Et recommence pour ces deux autres fichier :
C:\WINDOWS\SYSTEM32\dbnmpntwb.dll
C:\WINDOWS\system32\comdlg32e.dll

Postes moi donc les 3 rapports pour vérifier ...
0
Réponse 31 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 17:13
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 TR/Crypt.Morphine.Gen
Authentium 5.1.0.4 2008.06.24 W32/Heuristic-159!Eldorado
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.24 Packed.Morphine.C
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 Suspicious File
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.23 W32/Heuristic-159!Eldorado
F-Secure 7.60.13501.0 2008.06.24 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 Trojan.Crypt.Morphine
Kaspersky 7.0.0.125 2008.06.24 Heur.Trojan.Generic
McAfee 5323 2008.06.23 New Malware.bl
Microsoft 1.3604 2008.06.24 VirTool:Win32/Obfuscator.Q
NOD32v2 3213 2008.06.24 a variant of Win32/Small.BB
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.23 Suspicious file
Prevx1 V2 2008.06.24 -
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 Mal/EncPk-CL
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 Trojan Horse
TheHacker 6.2.92.359 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 Cryp_Morphine
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 Win32.Malware.gen!88
Information additionnelle
File size: 17408 bytes
MD5...: b80f8b842a28a57036b7bbc190915b44
SHA1..: 5a90d32fc16c05a35fba290a01db347bce3c9368
SHA256: 4e95273db2ee9fc6ff2157d10e3ed700a5c6043a8ab5819e4b818db293411d0f
SHA512: b5ca69001894415a94a9c2a20e2745cf83bf2981c5ad22385f2352cfb442fcac
b767a0c0edc283895d47314f1e0bcf964de8a141831291b785f03e2e37234736
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x512864
timedatestamp.....: 0x36a1ec48 (Sun Jan 17 13:57:28 1999)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x3e00 7.83 3a956159b40c9b5ecc93b7f5a54d3c83
.idata 0x8000 0x1000 0x200 1.34 d6ff1ac067d1010328dc15981ca9605c

( 1 imports )
> KERNEL32.dll: LoadLibraryExA, GetProcAddress, LeaveCriticalSection

( 0 exports )

packers (F-Prot): UPX
packers (Authentium): UPX
0
Réponse 32 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 17:14
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.23 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.24 -
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 Suspicious File
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.23 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 -
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5323 2008.06.23 -
Microsoft 1.3604 2008.06.24 -
NOD32v2 3213 2008.06.24 -
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.23 -
Prevx1 V2 2008.06.24 -
Rising 20.50.10.00 2008.06.24 Packer.Win32.Morphine.b
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.359 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 Win32.Malware.gen
Information additionnelle
File size: 84992 bytes
MD5...: b81b18c28a3eb0e98c6274cc36a07b19
SHA1..: b6e2131445836cf958178e6b8599bcb6c0473a09
SHA256: 237c0ab71ae30701c7a3860c9e15601eb7b13c43c153aa6c333b9bbb07f78199
SHA512: 94096c66fed3ce26e8b1a589a01a9ce73944464b21ad44b4059c3109efd7402f
38653fdeaf5043c3267a73909b09be34275cde77eecef0051fe11dc379744f0e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x542a89
timedatestamp.....: 0x201c9cc5 (Tue Jan 27 11:40:53 1987)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x33000 0x13e00 7.99 359a4af6667107622235ab4ba9e38d27
.idata 0x34000 0x1b4 0x200 3.71 e9241a9e23d9cb235d9077de8c88bfed
.edata 0x35000 0xe0 0x200 2.58 38cd6f9caf480399fab006c052810b89
.rsrc 0x36000 0x600 0x600 2.48 9bcb7466027d39d67189cce183165904

( 4 imports )
> KERNEL32.dll: GetCalendarInfoA, SetConsoleCP, GetProcAddress, VerifyVersionInfoW, LoadLibraryExA, SwitchToFiber, GetConsoleAliasA
> advapi32.dll: FreeSid
> oleaut32.dll: SysFreeString
> user32.dll: wvsprintfA

( 7 exports )
DllCanUnloadNow, DllGetClassObject, Olcgbol, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain
0
Réponse 33 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 17:15
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.24.0 2008.06.24 Win-Trojan/Podnuha.88064.R
AntiVir 7.8.0.59 2008.06.24 RKit/Podnuha.CB
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.23 Win32:Rootkit-gen
AVG 7.5.0.516 2008.06.24 Downloader.Delf.12.AN
BitDefender 7.2 2008.06.24 -
CAT-QuickHeal 9.50 2008.06.23 Rootkit.Podnuha.cb
ClamAV 0.93.1 2008.06.24 Trojan.Rootkit-950
DrWeb 4.44.0.09170 2008.06.24 Trojan.DownLoader.56883
eSafe 7.0.17.0 2008.06.24 Suspicious File
eTrust-Vet 31.6.5900 2008.06.24 Win32/Kvol!generic
Ewido 4.0 2008.06.24 Rootkit.Podnuha.cb
F-Prot 4.4.4.56 2008.06.23 -
F-Secure 7.60.13501.0 2008.06.24 Rootkit.Win32.Podnuha.cb
Fortinet 3.14.0.0 2008.06.24 W32/Podnuha.CB!tr.rkit
GData 2.0.7306.1023 2008.06.24 Rootkit.Win32.Podnuha.cb
Ikarus T3.1.1.26.0 2008.06.24 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.06.24 Rootkit.Win32.Podnuha.cb
McAfee 5323 2008.06.23 Boaxxe.dll
Microsoft 1.3604 2008.06.24 Trojan:Win32/Boaxxe.B
NOD32v2 3213 2008.06.24 a variant of Win32/Agent.NSG
Norman 5.80.02 2008.06.24 W32/Rootkit.EQF
Panda 9.0.0.4 2008.06.23 Adware/GoodSearchNow
Prevx1 V2 2008.06.24 Malware Downloader
Rising 20.50.10.00 2008.06.24 Trojan.Clicker.Win32.Delf.mm
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 Constructor.Podnuha.CB
Symantec 10 2008.06.24 Trojan Horse
TheHacker 6.2.92.359 2008.06.24 Trojan/Podnuha.cb
TrendMicro 8.700.0.1004 2008.06.24 TROJ_BOAXXE.AB
VBA32 3.12.6.8 2008.06.23 Rootkit.Win32.Podnuha.cb
VirusBuster 4.5.11.0 2008.06.23 Rootkit.Podnuha.Gen.2
Webwasher-Gateway 6.6.2 2008.06.24 -
Information additionnelle
File size: 88064 bytes
MD5...: aca57db147b631c7c307b7592aab4a9e
SHA1..: 6fb7e8cc1016c172c8e9a3f168d6f4bfc9628c77
SHA256: c633f0a24c44a47accef232a1dc77105c8c58fdc87a0a56966aab1213ebca884
SHA512: 72428c8bbefaa2029c110cb66124eea64f7bbb0004e74e0ecbcee6645129c050
810b688063d57d8e643bbff7acb3c9e8ffdbbb8b436ae8164c06de527937057b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43a800
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x25000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x26000 0x15000 0x14a00 7.90 d69c1098e2015afd82b5cbd2f15d1e6b
.rsrc 0x3b000 0x1000 0xa00 3.54 f9c0ba2ef28b9c9dfe01dd56280b30f0

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: VariantCopy
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4EE7FDD4003418FB584701D769F67F000FD2F7E7
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
packers (Avast): UPX
0
Réponse 34 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 17:16
g d gros pb de freeze et d'internet explorer qui rencontre d erreurs ... je suis en sans echec avec reseau jespere que ca pose pas de pb sinon je pouvais pas faire les analyses
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juin 2008 à 17:39
Tu m'étonnes ! En faite ce n'est que des infections !

Voilà ce que tu vas faire ( en mode sans échec ) :

1-Crée un doc texte sur ton bureau :
pointes ta souris sur ton bureau , click droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de crée :

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplicat­ions\List]
"C:\\WINDOWS\\system32\\84psjwcuuxz.exe"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84psjwcuuxz"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84psjwcuuxz"=-

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]

File::
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
C:\WINDOWS\system32\84psjwcuuxz.exe


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...


2-Nettoyage :
!! Déconnectes toi,fermes toute tes application !!

--->Sur ton bureau, fais un glisser avec ta souris le fichier CFScript sur l'icone de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touche à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ( fait en mode normal si possible ) ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 35 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 17:52
ComboFix 08-06-20.4 - Sébastien 2008-06-24 17:47:33.4 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1810 [GMT 2:00]
Endroit: C:\Documents and Settings\Sébastien\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\Sébastien\Bureau\CFScript.txt

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll . . . . Echec de suppression
C:\windows\system32\dbnmpntwb.dll . . . . Echec de suppression

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_mpbcwszj
-------\Service_mpbcwszj


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-05-24 to 2008-06-24 ))))))))))))))))))))))))))))))))))))
.

2008-06-24 17:25 . 2008-06-24 17:25 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-06-24 17:25 . 2008-06-24 17:25 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-23 20:42 . 2008-06-23 20:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-23 20:42 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-23 20:42 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-23 20:08 . 2008-06-23 20:08 <REP> d-------- C:\Program Files\CCleaner
2008-06-23 19:08 . 2008-06-23 19:08 <REP> d-------- C:\WINDOWS\ERUNT
2008-06-23 19:05 . 2008-06-23 19:15 <REP> d-------- C:\SDFix
2008-06-23 18:13 . 2008-06-23 18:14 <REP> d-------- C:\Program Files\RogueRemover FREE
2008-06-23 17:35 . 2008-06-23 17:35 <REP> d-------- C:\Program Files\Trend Micro
2008-06-22 11:47 . 2004-08-05 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-06-11 22:16 . 2008-06-11 22:16 <REP> d-------- C:\Program Files\Windows Media Connect 2
2008-06-11 22:15 . 2008-06-11 22:15 <REP> d-------- C:\WINDOWS\system32\LogFiles
2008-06-11 22:15 . 2008-06-11 22:16 <REP> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-31 03:17 . 2008-06-09 00:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-31 03:17 . 2008-05-31 03:17 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-28 19:11 . 2008-05-28 19:11 <REP> d--h----- C:\WINDOWS\PIF

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-10 16:52 --------- d-----w C:\Program Files\eMule
2008-06-04 16:09 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2008-05-16 18:17 --------- d-----w C:\Program Files\Fichiers communs\Mozilla Shared
2008-05-16 18:17 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\dbzikwch
2008-05-12 16:52 --------- d-----w C:\Program Files\Windows Live
2008-05-12 16:52 --------- d-----w C:\Program Files\MSN Messenger
2008-05-12 16:52 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-05-11 20:40 --------- d-----w C:\Program Files\Skype
2008-05-11 20:40 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-05-11 20:39 --------- d-----w C:\Program Files\Fichiers communs\Skype
2008-05-04 01:39 5,632 ----a-w C:\WINDOWS\system32\drivers\StarOpen.sys
2008-04-27 19:11 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 12:00 2,770 ----a-w C:\WINDOWS\system32\tmp.reg
2008-04-26 19:04 --------- d-----w C:\Program Files\Orange
2008-04-26 19:03 --------- d-----w C:\Program Files\Fichiers communs\France Telecom
2008-04-26 18:32 --------- d-----w C:\Program Files\SAGEM
2008-04-26 17:05 --------- d-----w C:\Program Files\Wanadoo
2008-04-25 21:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-24 06:10 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\IEDFix.exe
2008-04-23 20:14 82,944 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-04-23 18:28 196,608 ----a-w C:\WINDOWS\system32\libssl32.dll
2008-04-23 18:28 1,015,808 ----a-w C:\WINDOWS\system32\libeay32.dll
.

((((((((((((((((((((((((((((( snapshot@2008-06-23_21.59.43,29 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-23 19:54:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-24 15:49:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-03 00:27 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-09 09:36 8527872]
"nwiz"="nwiz.exe" [2007-10-09 09:36 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-09 09:36 81920]
"DAEMON Tools-1033"="E:\daemon.exe" [2004-08-22 18:05 81920]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2002-07-22 19:34 135168]
"SystrayORAHSS"="C:\Program Files\Orange\Systray\SystrayApp.exe" [2007-09-25 20:08 94208]
"ORAHSSSessionManager"="C:\Program Files\Orange\SessionManager\SessionManager.exe" [2007-09-25 19:10 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.3iv2"= 3ivxVfWCodec.dll
"VIDC.VP31"= vp31vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Program Files\\Orange\\Connectivity\\ConnectivityManager.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10493:TCP"= 10493:TCP:@xpsp2res.dll,-22009
"80:TCP"= 80:TCP:@xpsp2res.dll,-22009
"62206:TCP"= 62206:TCP:@xpsp2res.dll,-22009
"53179:TCP"= 53179:TCP:@xpsp2res.dll,-22009
"47869:TCP"= 47869:TCP:@xpsp2res.dll,-22009

R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
R2 BackWeb Client - 174112;Securitoo AntiVirus;C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE [2008-01-23 19:59]
R2 F-Secure AVP;F-Secure AVP;C:\Program Files\F-Secure\Anti-Virus\fsavp.sys [2001-05-25 11:44]
R2 F-Secure F-PROT;F-Secure F-PROT;C:\Program Files\F-Secure\Anti-Virus\fsfp.sys [2008-01-24 18:51]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Common\FSfilter.sys [2001-06-28 04:05]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Common\FSgk.sys [2001-06-28 04:05]
R2 F-Secure Orion;F-Secure Orion;C:\Program Files\F-Secure\Anti-Virus\fsorion.sys [2008-01-24 18:51]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Common\FSrec.sys [2001-06-28 04:05]
R2 FSpm;F-Secure Policy Manager;C:\Program Files\F-Secure\Common\FSPM.SYS [2002-01-24 19:55]
R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\F-Secure\fswsclds.exe [2008-01-24 18:52]
R3 P1130VID;Creative WebCam NX Pro;C:\WINDOWS\system32\DRIVERS\P1130Vid.sys [2003-05-08 03:00]
S1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-24 17:49:46
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\F-Secure\Common\FSMA32.exe
C:\Program Files\F-Secure\Common\FSMB32.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\[u]0[/u]\FTRTSVC.exe
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\F-Secure\Common\fch32.exe
C:\Program Files\F-Secure\Common\FAMEH32.exe
C:\Program Files\F-Secure\Common\fsgk32.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\[u]0[/u]\AlertModule.exe
C:\Program Files\Orange\Deskboard\Deskboard.exe
C:\Program Files\Orange\Connectivity\ConnectivityManager.exe
C:\Program Files\Orange\Connectivity\corecom\CoreCom.exe
C:\Program Files\Orange\Connectivity\corecom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\[u]0[/u]\FTCOMModule.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-06-24 17:51:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-24 15:51:19
ComboFix2.txt 2008-06-23 20:43:28
ComboFix3.txt 2008-06-23 20:35:52
ComboFix4.txt 2008-06-23 20:00:01

Pre-Run: 27,569,487,872 octets libres
Post-Run: 27,613,659,136 octets libres

178
0
Réponse 36 / 75
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juin 2008 à 18:00
Cela n'a pas totalement marcher ... Peux tu me repposter un nouvel hijack pour voire ...
0
Réponse 37 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 18:02
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:02:46, on 24/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Orange\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\Deskboard\deskboard.exe
C:\Program Files\Orange\connectivity\connectivitymanager.exe
C:\Program Files\Orange\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: (no name) - {B56F637C-8AF9-43FA-A31B-935F967A00CC} - C:\WINDOWS\system32\comdlg32e.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O2 - BHO: (no name) - {FA566E27-2B42-422B-9370-B1157205F1E1} - c:\windows\system32\dbnmpntwb.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\daemon.exe" -lang 1033 -noicon
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://E:\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: kswhazex - C:\WINDOWS\SYSTEM32\dbnmpntwb.dll
O23 - Service: Securitoo AntiVirus (BackWeb Client - 174112) - Unknown owner - C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\F-Secure\fswsclds.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
0
Réponse 38 / 75
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juin 2008 à 18:04
Maintenant essayes cela pour voire :

Téléchargez ceci (de gchris) : http://gchrisftp.free.fr/divers/Ad-Fix/Ad-Fix.zip

Dézippez-le sur votre bureau (clic droit -> extraire tout).

Important : vérifiez que vous êtes bien connecté à internet.

Dans le dossier créé, double-cliquez sur le fichier "Ad-Fix.bat" ou "Ad-fix"
Choisissez l'option 1.

Si vous avez un message de votre pare-feu qui vous demande si vous voulez autoriser le fichier URL2FILE.EXE à
se connecter à Internet ---> autorisez, c'est nécessaire à ad-fix pour vérifier la version.

Quand c'est finit (cela peut prendre plusieurs minutes), un rapport s'ouvre avec le bloc-notes.
Merci de faire un copier/coller ici du contenu du rapport (Ad-Fix.txt) .
0
Réponse 39 / 75
Primura Messages postés 56 Date d'inscription lundi 23 juin 2008 Statut Membre Dernière intervention 25 juin 2008
24 juin 2008 à 18:12
Ad-Fix v0.101e
by gchris


OPTION 1 (Scan) :

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Démarré à :

18:09:03,93 24/06/2008


Executé depuis :

C:\Documents and Settings\S‚bastien\Bureau\Ad-Fix


Os :

Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichier manquant


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichiers cachés (pas forcément mauvais)


Fichiers cachés à la racine du disque système :

boot.ini
Bootfont.bin
IO.SYS
MSDOS.SYS
NTDETECT.COM
ntldr
pagefile.sys
sqmdata00.sqm
sqmnoopt00.sqm

Fichiers cachés dans le répertoire Windows :

QTFont.qfn
WindowsShell.Manifest
winnt.bmp
winnt256.bmp

Fichiers cachés dans le répertoire System32 :

cdplayer.exe.manifest
ezsidmv.dat
logonui.exe.manifest
ncpa.cpl.manifest
nwc.cpl.manifest
sapi.cpl.manifest
WindowsLogon.manifest
wuaucpl.cpl.manifest

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Analyse du registre


---------- USER AGENT -- POST PLATFORM

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]

----------

---------- AppInit_DLLs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

----------


Complete!

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Recherche de fichiers et dossiers






»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Terminé à 18:11:06,90
0
Réponse 40 / 75
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
24 juin 2008 à 18:16
pas grand chose ... :-/

Nettoyage Ad-fix :
Démarrer en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

--->Lancez de nouveau Ad-fix

Choisissez l'option 2
(Le bureau ou les icônes vont disparaître, c'est normal.)
Quand c'est terminé, pressez la touche "entrée" pour redémarrer l'ordinateur.

Copiez collez ici, le contenu du nouveau rapport générer (le sauvegarder de façon à le retrouver), accompagné d'un nouveau rapport hijackthis ( celui-ci fais en mode normal ) pour analyse ...
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
Win64:Malware-gen
ptb35 -
MisteryBean -

3 réponses
win32:malware-gen bloqué par avast
ikkual -
Utilisateur anonyme -

69 réponses
Pc infecté ? Analyse de Gridinsoft
slimocb -
bazfile -

7 réponses
Problème de malware
jbijp -
MisteryBean -

1 réponse