Besoin d'aide avec les spyware
Catherine
-
Destrio5 Messages postés 99820 Statut Modérateur -
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,
ce matin j'ai fait une bêtise et ait downloadé un truc qui s'est avéré être un méchant spyware.
J'ai passé la journée à downloader Ad Aware, Spybot et d'autres trucs qui se sont avéré de vrais bordel...
Je suis nulle en info et là je ne sais plus quoi faire pour retrouver mon ordi qui était tout neuf et allait très bien :(
On m'a dit de downloader HIJAckthis et de vous copier un log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:05, on 2008-07-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.5.0_12\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.radio-canada.ca/index.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.bibliotheques.uqam.ca/bibuqam.pac
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: StumbleUpon Launcher - {145B29F4-A56B-4b90-BBAC-45784EBEBBB7} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll
O2 - BHO: (no name) - {3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8D6D4033-A328-4239-8419-86A2D9C61E38} - C:\WINDOWS\system32\cbXOFuTM.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: (no name) - {B735F08B-CF66-4B55-BFC1-CA4740DA8A3B} - (no file)
O2 - BHO: (no name) - {E2F00E32-C2C7-44AE-9E4B-E1BEA77D81DD} - C:\WINDOWS\system32\byXNfFww.dll (file missing)
O2 - BHO: (no name) - {ECAC0231-7FE1-47BC-837D-FC75C34BE7F8} - C:\WINDOWS\system32\urqOHBrr.dll (file missing)
O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: nqgpedlr - {80123684-A222-4009-8220-A867294D6DE8} - C:\WINDOWS\nqgpedlr.dll (file missing)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [68c35b4a] rundll32.exe "C:\WINDOWS\system32\oyrtebjd.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA4327] command /c del "C:\WINDOWS\system32\byXNfFww.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8369] cmd /c del "C:\WINDOWS\system32\byXNfFww.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: StumbleUpon PhotoBlog It! - res://StumbleUponIEBar.dll/blogimage
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: pmnopNgh - C:\WINDOWS\SYSTEM32\pmnopNgh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
ce matin j'ai fait une bêtise et ait downloadé un truc qui s'est avéré être un méchant spyware.
J'ai passé la journée à downloader Ad Aware, Spybot et d'autres trucs qui se sont avéré de vrais bordel...
Je suis nulle en info et là je ne sais plus quoi faire pour retrouver mon ordi qui était tout neuf et allait très bien :(
On m'a dit de downloader HIJAckthis et de vous copier un log.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:05, on 2008-07-06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\BCMSMMSG.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Java\jre1.5.0_12\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.radio-canada.ca/index.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.bibliotheques.uqam.ca/bibuqam.pac
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: StumbleUpon Launcher - {145B29F4-A56B-4b90-BBAC-45784EBEBBB7} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll
O2 - BHO: (no name) - {3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {8D6D4033-A328-4239-8419-86A2D9C61E38} - C:\WINDOWS\system32\cbXOFuTM.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: (no name) - {B735F08B-CF66-4B55-BFC1-CA4740DA8A3B} - (no file)
O2 - BHO: (no name) - {E2F00E32-C2C7-44AE-9E4B-E1BEA77D81DD} - C:\WINDOWS\system32\byXNfFww.dll (file missing)
O2 - BHO: (no name) - {ECAC0231-7FE1-47BC-837D-FC75C34BE7F8} - C:\WINDOWS\system32\urqOHBrr.dll (file missing)
O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:\Program Files\StumbleUpon\StumbleUponIEBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: nqgpedlr - {80123684-A222-4009-8220-A867294D6DE8} - C:\WINDOWS\nqgpedlr.dll (file missing)
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [BCMSMMSG] BCMSMMSG.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe"
O4 - HKLM\..\Run: [68c35b4a] rundll32.exe "C:\WINDOWS\system32\oyrtebjd.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA4327] command /c del "C:\WINDOWS\system32\byXNfFww.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8369] cmd /c del "C:\WINDOWS\system32\byXNfFww.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: StumbleUpon PhotoBlog It! - res://StumbleUponIEBar.dll/blogimage
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: pmnopNgh - C:\WINDOWS\SYSTEM32\pmnopNgh.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
A voir également:
- Besoin d'aide avec les spyware
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
20 réponses
voici mes symptomes en passant:
au début j'avais une toolbar dans IE (nqgpedlr ou qq chose comme ca). J'avais toujours des barres jaunes en haut (style pop-up block) qui me disait que mon ordi était a risque. Quand j'étais sur IE au lieu d'ouvrir les pages que je voulais, ca ouvrait des pages d'erreur qui disaient que mon ordi était a risque.
Spybot a réussi à enlever cela... mais maintenant j'ai des fenetres popup qui ouvrent pour des jeux cons. Et mon ordi est vraiment plus lent
et quand je right click ou ya les toolbar dans IE ca inscrit encore nqgpedlr mais meme si je click dessus elle s'ouvre pâs
et des fois c'est comme si Windows crashait. Il ne reste plus rien que mon desktop image. Plus de taskbar, plus de programmes ouverts... j'suis obligé de peser s'ul piton reset
désolée du style d'écriture c'est directement copié-collé d'une discussion sur MSN...
au début j'avais une toolbar dans IE (nqgpedlr ou qq chose comme ca). J'avais toujours des barres jaunes en haut (style pop-up block) qui me disait que mon ordi était a risque. Quand j'étais sur IE au lieu d'ouvrir les pages que je voulais, ca ouvrait des pages d'erreur qui disaient que mon ordi était a risque.
Spybot a réussi à enlever cela... mais maintenant j'ai des fenetres popup qui ouvrent pour des jeux cons. Et mon ordi est vraiment plus lent
et quand je right click ou ya les toolbar dans IE ca inscrit encore nqgpedlr mais meme si je click dessus elle s'ouvre pâs
et des fois c'est comme si Windows crashait. Il ne reste plus rien que mon desktop image. Plus de taskbar, plus de programmes ouverts... j'suis obligé de peser s'ul piton reset
désolée du style d'écriture c'est directement copié-collé d'une discussion sur MSN...
Salut,
T'es infecté par Vundo. Je viendrais prendre de tes nouvelles demain, je vais dormir.
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisée à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
T'es infecté par Vundo. Je viendrais prendre de tes nouvelles demain, je vais dormir.
---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisée à vos risques et avec aucune garantie..".
Accepte en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
bonjour
avant de passer à la désinfection manuelle
un scan en ligne est nécessaire
une restauretion aussi
avant de passer à la désinfection manuelle
un scan en ligne est nécessaire
une restauretion aussi
ben je viens juste de downlder HiJackthis... je n'ai plus trop confiance à downloader plein d'affaires la.
Suis-je obligé de downlaoder ton truc?
Autre symptome: quand je tappe sur le clavier, les lettres n'apparaissent pas toutes... ca lag un peu... c'est vraiment chiant!
Suis-je obligé de downlaoder ton truc?
Autre symptome: quand je tappe sur le clavier, les lettres n'apparaissent pas toutes... ca lag un peu... c'est vraiment chiant!
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ca me semble louche... accepter un message qui dit que j'utilise a mes risques puis désactiver mon antivirus et mon spyware puis le runner... j'suis pas en confiance avec ca
Va falloir pourtant.
La preuve :
http://www.commentcamarche.net/forum/affich 7242803 virtumonde malware trace
La preuve :
http://www.commentcamarche.net/forum/affich 7242803 virtumonde malware trace
bonjour
si tu n'as pas supprimé le spoints de restauretion fais une restauration à une date antérieure avant toute manipulation
tu ne cours aucun danger
si ça corrige ok sinon tu peux revenir à ComboFix
ce qui est sur c'est que la trace d'un virus ou spyware est présente
destrio5 est connaisseur et s'il te dit Vundo c'est qu'il est sur de lui
mais fais ce que je te dis avant
je te conseille aussi de commencer à sauvegarder tes données sensibles hors la partition c sur D par exemple
bon courage
si tu n'as pas supprimé le spoints de restauretion fais une restauration à une date antérieure avant toute manipulation
tu ne cours aucun danger
si ça corrige ok sinon tu peux revenir à ComboFix
ce qui est sur c'est que la trace d'un virus ou spyware est présente
destrio5 est connaisseur et s'il te dit Vundo c'est qu'il est sur de lui
mais fais ce que je te dis avant
je te conseille aussi de commencer à sauvegarder tes données sensibles hors la partition c sur D par exemple
bon courage
oui, faut simplement me laisser le temps de revenir du travail...
voici le log
ComboFix 08-07-05.1 - Administrator 2008-07-07 16:32:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.380 [GMT -4:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\ddcBUopM.dll
C:\WINDOWS\system32\djbetryo.ini
C:\WINDOWS\system32\igfxhk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MpoUBcdd.ini
C:\WINDOWS\system32\MpoUBcdd.ini2
C:\WINDOWS\system32\MTuFOXbc.ini
C:\WINDOWS\system32\MTuFOXbc.ini2
C:\WINDOWS\system32\rpqwijkf.ini
C:\WINDOWS\system32\rrBHOqru.ini
C:\WINDOWS\system32\rrBHOqru.ini2
C:\WINDOWS\system32\upqhxbps.ini
C:\WINDOWS\system32\vrbclmot.ini
C:\WINDOWS\system32\wwFfNXyb.ini
C:\WINDOWS\system32\wwFfNXyb.ini2
C:\WINDOWS\system32\ymfuxkej.ini
.
((((((((((((((((((((((((( Files Created from 2008-06-07 to 2008-07-07 )))))))))))))))))))))))))))))))
.
2008-07-07 16:32 . 2008-07-07 16:40 294 ---hs---- C:\WINDOWS\system32\vrbclmot.ini
2008-07-07 07:52 . 2008-07-07 07:52 88,576 --a------ C:\WINDOWS\system32\tomlcbrv.dll
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-06 20:59 . 2008-07-06 20:59 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-07-06 16:57 . 2008-07-06 20:29 521 --a------ C:\WINDOWS\wininit.ini
2008-07-06 16:33 . 2008-07-06 16:33 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 16:33 . 2008-07-06 17:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Program Files\Lavasoft
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 09:02 . 2008-07-06 09:10 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-06 07:36 . 2008-07-06 07:36 89,088 --a------ C:\WINDOWS\system32\fkjiwqpr.dll
2008-07-06 07:25 . 2008-07-07 15:45 <DIR> dr-h----- C:\$VAULT$.AVG
2008-07-06 07:25 . 2008-07-05 21:48 376,832 --a------ C:\WINDOWS\kgqfweltmrg.dll
2008-07-06 07:25 . 2008-07-05 21:48 307,200 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-06 07:25 . 2008-07-05 21:48 155,648 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-07-05 17:50 . 2008-07-05 17:50 <DIR> d-------- C:\WINDOWS\Sun
2008-07-05 17:49 . 2007-05-02 04:01 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-07-05 17:48 . 2008-07-05 17:49 <DIR> d-------- C:\Program Files\Java
2008-07-05 17:48 . 2008-07-05 17:48 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 09:49 . 2008-07-04 09:49 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\vlc
2008-07-04 09:47 . 2008-07-04 09:47 <DIR> d-------- C:\Program Files\VideoLAN
2008-06-22 00:03 . 2008-06-22 23:16 <DIR> d-------- C:\Program Files\mIRC
2008-06-22 00:03 . 2008-06-22 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\mIRC
2008-06-18 22:57 . 2008-06-13 09:10 272,128 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-18 22:57 . 2008-06-13 09:10 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-07 20:29 --------- d-----w C:\Documents and Settings\Administrator\Application Data\StumbleUpon
2008-07-07 19:43 --------- d-----w C:\Documents and Settings\Administrator\Application Data\AVG7
2008-07-05 14:36 --------- d-----w C:\Documents and Settings\Administrator\Application Data\U3
2008-06-07 17:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-06-06 15:50 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-06-06 04:17 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Tinn-R
2008-05-30 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-05-22 14:29 --------- d-----w C:\Program Files\Google
2008-05-22 02:40 --------- d-----w C:\Program Files\Tinn-R
2008-05-22 00:57 --------- d-----w C:\Program Files\R
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-20 13:25 --------- d-----w C:\Program Files\StumbleUpon
2008-05-17 14:12 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Microsoft Web Folders
2008-05-13 15:00 --------- d-----w C:\Program Files\Windows Live
2008-05-13 14:59 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-05-13 14:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-21 07:43 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-05-15 19:35 579584]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-19 07:59 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-19 07:59 126976]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]
"68c35b4a"="C:\WINDOWS\system32\tomlcbrv.dll" [2008-07-07 07:52 88576]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 03:59 122880 C:\WINDOWS\BCMSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 11:10 219136]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 04:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
.
- - - - ORPHANS REMOVED - - - -
BHO-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
BHO-{8D6D4033-A328-4239-8419-86A2D9C61E38} - C:\WINDOWS\system32\cbXOFuTM.dll
BHO-{B735F08B-CF66-4B55-BFC1-CA4740DA8A3B} - (no file)
BHO-{E2A7D840-E777-4356-9FDE-2A373AE4A887} - (no file)
BHO-{E2F00E32-C2C7-44AE-9E4B-E1BEA77D81DD} - C:\WINDOWS\system32\byXNfFww.dll
BHO-{E9D59F51-F2AA-42EC-867B-9AFF95DBB70E} - (no file)
BHO-{ECAC0231-7FE1-47BC-837D-FC75C34BE7F8} - C:\WINDOWS\system32\urqOHBrr.dll
Toolbar-{80123684-A222-4009-8220-A867294D6DE8} - C:\WINDOWS\nqgpedlr.dll
ShellExecuteHooks-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
Notify-pmnopNgh - pmnopNgh.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 16:39:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fb2.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFA54F.tmp
C:\WINDOWS\system32\vrbclmot.ini 294 bytes
scan completed successfully
hidden files: 3
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-07 16:44:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-07 20:44:36
Pre-Run: 25,779,679,232 bytes free
Post-Run: 26,358,587,392 bytes free
150 --- E O F --- 2008-06-20 12:36:25
est-ce que je peux désinstaller ComboFix de mon ordi?
j'ai désinstallé SpyBot parce qu'il rendait mon ordi tellement lent... je garde Ad Aware est-ce correcT?
voici le log
ComboFix 08-07-05.1 - Administrator 2008-07-07 16:32:21.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.380 [GMT -4:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\ddcBUopM.dll
C:\WINDOWS\system32\djbetryo.ini
C:\WINDOWS\system32\igfxhk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MpoUBcdd.ini
C:\WINDOWS\system32\MpoUBcdd.ini2
C:\WINDOWS\system32\MTuFOXbc.ini
C:\WINDOWS\system32\MTuFOXbc.ini2
C:\WINDOWS\system32\rpqwijkf.ini
C:\WINDOWS\system32\rrBHOqru.ini
C:\WINDOWS\system32\rrBHOqru.ini2
C:\WINDOWS\system32\upqhxbps.ini
C:\WINDOWS\system32\vrbclmot.ini
C:\WINDOWS\system32\wwFfNXyb.ini
C:\WINDOWS\system32\wwFfNXyb.ini2
C:\WINDOWS\system32\ymfuxkej.ini
.
((((((((((((((((((((((((( Files Created from 2008-06-07 to 2008-07-07 )))))))))))))))))))))))))))))))
.
2008-07-07 16:32 . 2008-07-07 16:40 294 ---hs---- C:\WINDOWS\system32\vrbclmot.ini
2008-07-07 07:52 . 2008-07-07 07:52 88,576 --a------ C:\WINDOWS\system32\tomlcbrv.dll
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-06 20:59 . 2008-07-06 20:59 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-07-06 16:57 . 2008-07-06 20:29 521 --a------ C:\WINDOWS\wininit.ini
2008-07-06 16:33 . 2008-07-06 16:33 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 16:33 . 2008-07-06 17:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Program Files\Lavasoft
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 09:02 . 2008-07-06 09:10 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-06 07:36 . 2008-07-06 07:36 89,088 --a------ C:\WINDOWS\system32\fkjiwqpr.dll
2008-07-06 07:25 . 2008-07-07 15:45 <DIR> dr-h----- C:\$VAULT$.AVG
2008-07-06 07:25 . 2008-07-05 21:48 376,832 --a------ C:\WINDOWS\kgqfweltmrg.dll
2008-07-06 07:25 . 2008-07-05 21:48 307,200 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-06 07:25 . 2008-07-05 21:48 155,648 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-07-05 17:50 . 2008-07-05 17:50 <DIR> d-------- C:\WINDOWS\Sun
2008-07-05 17:49 . 2007-05-02 04:01 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-07-05 17:48 . 2008-07-05 17:49 <DIR> d-------- C:\Program Files\Java
2008-07-05 17:48 . 2008-07-05 17:48 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 09:49 . 2008-07-04 09:49 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\vlc
2008-07-04 09:47 . 2008-07-04 09:47 <DIR> d-------- C:\Program Files\VideoLAN
2008-06-22 00:03 . 2008-06-22 23:16 <DIR> d-------- C:\Program Files\mIRC
2008-06-22 00:03 . 2008-06-22 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\mIRC
2008-06-18 22:57 . 2008-06-13 09:10 272,128 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-18 22:57 . 2008-06-13 09:10 272,128 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-07 20:29 --------- d-----w C:\Documents and Settings\Administrator\Application Data\StumbleUpon
2008-07-07 19:43 --------- d-----w C:\Documents and Settings\Administrator\Application Data\AVG7
2008-07-05 14:36 --------- d-----w C:\Documents and Settings\Administrator\Application Data\U3
2008-06-07 17:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-06-06 15:50 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-06-06 04:17 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Tinn-R
2008-05-30 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-05-22 14:29 --------- d-----w C:\Program Files\Google
2008-05-22 02:40 --------- d-----w C:\Program Files\Tinn-R
2008-05-22 00:57 --------- d-----w C:\Program Files\R
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Macrovision Shared
2008-05-20 13:31 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-20 13:25 --------- d-----w C:\Program Files\StumbleUpon
2008-05-17 14:12 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Microsoft Web Folders
2008-05-13 15:00 --------- d-----w C:\Program Files\Windows Live
2008-05-13 14:59 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-05-13 14:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-21 07:43 68856]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-05-15 19:35 579584]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-19 07:59 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-19 07:59 126976]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 04:15 75520]
"68c35b4a"="C:\WINDOWS\system32\tomlcbrv.dll" [2008-07-07 07:52 88576]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 03:59 122880 C:\WINDOWS\BCMSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 11:10 219136]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 04:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
.
- - - - ORPHANS REMOVED - - - -
BHO-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
BHO-{8D6D4033-A328-4239-8419-86A2D9C61E38} - C:\WINDOWS\system32\cbXOFuTM.dll
BHO-{B735F08B-CF66-4B55-BFC1-CA4740DA8A3B} - (no file)
BHO-{E2A7D840-E777-4356-9FDE-2A373AE4A887} - (no file)
BHO-{E2F00E32-C2C7-44AE-9E4B-E1BEA77D81DD} - C:\WINDOWS\system32\byXNfFww.dll
BHO-{E9D59F51-F2AA-42EC-867B-9AFF95DBB70E} - (no file)
BHO-{ECAC0231-7FE1-47BC-837D-FC75C34BE7F8} - C:\WINDOWS\system32\urqOHBrr.dll
Toolbar-{80123684-A222-4009-8220-A867294D6DE8} - C:\WINDOWS\nqgpedlr.dll
ShellExecuteHooks-{3BA3028F-FD37-46BF-AD27-733734684F06} - C:\WINDOWS\system32\pmnopNgh.dll
Notify-pmnopNgh - pmnopNgh.dll
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-07 16:39:00
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fb2.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFA54F.tmp
C:\WINDOWS\system32\vrbclmot.ini 294 bytes
scan completed successfully
hidden files: 3
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Completion time: 2008-07-07 16:44:39 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-07 20:44:36
Pre-Run: 25,779,679,232 bytes free
Post-Run: 26,358,587,392 bytes free
150 --- E O F --- 2008-06-20 12:36:25
est-ce que je peux désinstaller ComboFix de mon ordi?
j'ai désinstallé SpyBot parce qu'il rendait mon ordi tellement lent... je garde Ad Aware est-ce correcT?
---> Télécharge le fichier CFScript et enregistre-le sur ton bureau :
http://www.zshare.net/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît (Type 1 to continue, or 2 to abort), tape 1 puis valide.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le ici
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
http://www.zshare.net/
---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
[*] Une fenêtre bleue va apparaître : au message qui apparaît (Type 1 to continue, or 2 to abort), tape 1 puis valide.
[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
[*] Une fois le scan achevé, un rapport va s'afficher : poste-le ici
[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt
Destrio5, merci de m'Avoir aidé
j'ai malheureusement pas le temps de compléter les étapes comme je pars travailler loin de tout accès internet.
Je compléterai la dernière étape mentionnée à mon retour, je ne sais toutefois pas dans combien de temps ce sera (3 - 5 sem).
Merci de ta patience, je suis souvent loin demon ordi ces temps-ci.
À la prochaine!
j'ai malheureusement pas le temps de compléter les étapes comme je pars travailler loin de tout accès internet.
Je compléterai la dernière étape mentionnée à mon retour, je ne sais toutefois pas dans combien de temps ce sera (3 - 5 sem).
Merci de ta patience, je suis souvent loin demon ordi ces temps-ci.
À la prochaine!
Salut Destrio5
désolée de mon absence, je suis de retour pour 2 ou 3 jours j'espère que tu es toujours disponible et volontaire à m'aider.
J'ai fait ce que tu m'as demandé et voici le report.
J'attends de tes nouvelles!
Merci
CAtherine
ComboFix 08-07-24.6 - Administrator 2008-07-25 17:05:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.391 [GMT -4:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrator\Desktop\cfscript.txt
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\vrbclmot.ini
.
((((((((((((((((((((((((( Files Created from 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))
.
2008-07-24 12:37 . 2008-07-24 12:37 244 --ah----- C:\sqmnoopt11.sqm
2008-07-24 12:37 . 2008-07-24 12:37 232 --ah----- C:\sqmdata11.sqm
2008-07-23 09:36 . 2008-07-23 09:36 <DIR> d-------- C:\Program Files\Sun
2008-07-23 09:36 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-23 00:17 . 2008-07-23 00:17 244 --ah----- C:\sqmnoopt10.sqm
2008-07-23 00:17 . 2008-07-23 00:17 232 --ah----- C:\sqmdata10.sqm
2008-07-22 21:45 . 2008-07-22 21:45 244 --ah----- C:\sqmnoopt09.sqm
2008-07-22 21:45 . 2008-07-22 21:45 232 --ah----- C:\sqmdata09.sqm
2008-07-22 12:32 . 2008-07-22 12:32 244 --ah----- C:\sqmnoopt08.sqm
2008-07-22 12:32 . 2008-07-22 12:32 232 --ah----- C:\sqmdata08.sqm
2008-07-22 12:21 . 2008-07-22 12:21 244 --ah----- C:\sqmnoopt07.sqm
2008-07-22 12:21 . 2008-07-22 12:21 232 --ah----- C:\sqmdata07.sqm
2008-07-21 14:11 . 2008-07-21 14:11 244 --ah----- C:\sqmnoopt06.sqm
2008-07-21 14:11 . 2008-07-21 14:11 232 --ah----- C:\sqmdata06.sqm
2008-07-21 11:15 . 2008-07-21 11:15 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2008-07-21 11:12 . 2008-07-21 11:12 <DIR> d-------- C:\Program Files\Common Files\Adobe AIR
2008-07-21 10:38 . 2008-07-21 10:38 244 --ah----- C:\sqmnoopt05.sqm
2008-07-21 10:38 . 2008-07-21 10:38 232 --ah----- C:\sqmdata05.sqm
2008-07-20 15:59 . 2008-07-20 15:59 244 --ah----- C:\sqmnoopt04.sqm
2008-07-20 15:59 . 2008-07-20 15:59 232 --ah----- C:\sqmdata04.sqm
2008-07-20 15:40 . 2008-07-20 15:40 244 --ah----- C:\sqmnoopt03.sqm
2008-07-20 15:40 . 2008-07-20 15:40 232 --ah----- C:\sqmdata03.sqm
2008-07-20 15:33 . 2008-07-20 15:33 244 --ah----- C:\sqmnoopt02.sqm
2008-07-20 15:33 . 2008-07-20 15:33 232 --ah----- C:\sqmdata02.sqm
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-06 20:59 . 2008-07-06 20:59 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-07-06 16:57 . 2008-07-06 20:29 521 --a------ C:\WINDOWS\wininit.ini
2008-07-06 16:33 . 2008-07-07 16:45 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 16:33 . 2008-07-07 16:45 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Program Files\Lavasoft
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 09:02 . 2008-07-06 09:10 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-06 07:25 . 2008-07-14 00:00 <DIR> dr-h----- C:\$VAULT$.AVG
2008-07-05 17:50 . 2008-07-05 17:50 <DIR> d-------- C:\WINDOWS\Sun
2008-07-05 17:48 . 2008-07-23 09:36 <DIR> d-------- C:\Program Files\Java
2008-07-05 17:48 . 2008-07-05 17:48 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 09:49 . 2008-07-04 09:49 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\vlc
2008-07-04 09:47 . 2008-07-04 09:47 <DIR> d-------- C:\Program Files\VideoLAN
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-25 21:05 --------- d-----w C:\Documents and Settings\Administrator\Application Data\StumbleUpon
2008-07-25 12:35 --------- d-----w C:\Documents and Settings\Administrator\Application Data\AVG7
2008-07-05 14:36 --------- d-----w C:\Documents and Settings\Administrator\Application Data\U3
2008-06-23 03:20 --------- d-----w C:\Documents and Settings\Administrator\Application Data\mIRC
2008-06-23 03:16 --------- d-----w C:\Program Files\mIRC
2008-06-20 17:41 245,248 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-07 17:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-06-06 15:50 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-06-06 04:17 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Tinn-R
2008-05-30 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
.
((((((((((((((((((((((((((((( snapshot@2008-07-07_16.44.19.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-12 19:06:42 295,606 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A90000000001}\SC_Reader.exe
- 2004-08-04 12:00:00 138,496 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-06-20 10:44:38 138,368 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
- 2008-02-20 05:32:43 148,992 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:41:10 148,992 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2004-08-04 12:00:00 245,248 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
+ 2008-06-20 17:41:10 245,248 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
- 2007-10-30 17:20:55 360,064 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
+ 2008-06-20 10:45:13 360,320 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
- 2006-08-16 09:37:30 225,664 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
+ 2008-06-20 09:52:06 225,920 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
- 2008-02-20 05:32:43 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2008-06-20 17:41:10 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2007-05-02 06:22:52 49,248 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-02-22 05:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-05-02 06:23:00 53,346 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-02-22 05:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-05-02 08:01:20 127,078 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-02-22 06:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2007-11-30 11:18:51 17,272 ----a-w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:22 17,272 ------w C:\WINDOWS\system32\spmsg.dll
+ 2006-12-02 02:54:32 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll
+ 2006-12-02 02:54:34 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll
+ 2006-12-02 02:54:32 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-21 07:43 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-05-15 19:35 579584]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-19 07:59 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-19 07:59 126976]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 03:59 122880 C:\WINDOWS\BCMSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 11:10 219136]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 04:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beee7168-5373-11dd-b8ff-000d56014461}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 17:08:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-07-25 17:11:09
ComboFix-quarantined-files.txt 2008-07-25 21:10:19
ComboFix2.txt 2008-07-07 20:44:40
Pre-Run: 22,506,004,480 bytes free
Post-Run: 22,770,696,192 bytes free
150 --- E O F --- 2008-07-10 13:16:12
désolée de mon absence, je suis de retour pour 2 ou 3 jours j'espère que tu es toujours disponible et volontaire à m'aider.
J'ai fait ce que tu m'as demandé et voici le report.
J'attends de tes nouvelles!
Merci
CAtherine
ComboFix 08-07-24.6 - Administrator 2008-07-25 17:05:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.391 [GMT -4:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrator\Desktop\cfscript.txt
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\vrbclmot.ini
.
((((((((((((((((((((((((( Files Created from 2008-06-25 to 2008-07-25 )))))))))))))))))))))))))))))))
.
2008-07-24 12:37 . 2008-07-24 12:37 244 --ah----- C:\sqmnoopt11.sqm
2008-07-24 12:37 . 2008-07-24 12:37 232 --ah----- C:\sqmdata11.sqm
2008-07-23 09:36 . 2008-07-23 09:36 <DIR> d-------- C:\Program Files\Sun
2008-07-23 09:36 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-23 00:17 . 2008-07-23 00:17 244 --ah----- C:\sqmnoopt10.sqm
2008-07-23 00:17 . 2008-07-23 00:17 232 --ah----- C:\sqmdata10.sqm
2008-07-22 21:45 . 2008-07-22 21:45 244 --ah----- C:\sqmnoopt09.sqm
2008-07-22 21:45 . 2008-07-22 21:45 232 --ah----- C:\sqmdata09.sqm
2008-07-22 12:32 . 2008-07-22 12:32 244 --ah----- C:\sqmnoopt08.sqm
2008-07-22 12:32 . 2008-07-22 12:32 232 --ah----- C:\sqmdata08.sqm
2008-07-22 12:21 . 2008-07-22 12:21 244 --ah----- C:\sqmnoopt07.sqm
2008-07-22 12:21 . 2008-07-22 12:21 232 --ah----- C:\sqmdata07.sqm
2008-07-21 14:11 . 2008-07-21 14:11 244 --ah----- C:\sqmnoopt06.sqm
2008-07-21 14:11 . 2008-07-21 14:11 232 --ah----- C:\sqmdata06.sqm
2008-07-21 11:15 . 2008-07-21 11:15 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
2008-07-21 11:12 . 2008-07-21 11:12 <DIR> d-------- C:\Program Files\Common Files\Adobe AIR
2008-07-21 10:38 . 2008-07-21 10:38 244 --ah----- C:\sqmnoopt05.sqm
2008-07-21 10:38 . 2008-07-21 10:38 232 --ah----- C:\sqmdata05.sqm
2008-07-20 15:59 . 2008-07-20 15:59 244 --ah----- C:\sqmnoopt04.sqm
2008-07-20 15:59 . 2008-07-20 15:59 232 --ah----- C:\sqmdata04.sqm
2008-07-20 15:40 . 2008-07-20 15:40 244 --ah----- C:\sqmnoopt03.sqm
2008-07-20 15:40 . 2008-07-20 15:40 232 --ah----- C:\sqmdata03.sqm
2008-07-20 15:33 . 2008-07-20 15:33 244 --ah----- C:\sqmnoopt02.sqm
2008-07-20 15:33 . 2008-07-20 15:33 232 --ah----- C:\sqmdata02.sqm
2008-07-06 21:40 . 2008-07-06 21:40 <DIR> d-------- C:\Program Files\Trend Micro
2008-07-06 20:59 . 2008-07-06 20:59 <DIR> d-------- C:\Program Files\Enigma Software Group
2008-07-06 16:57 . 2008-07-06 20:29 521 --a------ C:\WINDOWS\wininit.ini
2008-07-06 16:33 . 2008-07-07 16:45 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-07-06 16:33 . 2008-07-07 16:45 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Program Files\Lavasoft
2008-07-06 09:34 . 2008-07-06 09:34 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-06 09:02 . 2008-07-06 09:10 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-06 07:25 . 2008-07-14 00:00 <DIR> dr-h----- C:\$VAULT$.AVG
2008-07-05 17:50 . 2008-07-05 17:50 <DIR> d-------- C:\WINDOWS\Sun
2008-07-05 17:48 . 2008-07-23 09:36 <DIR> d-------- C:\Program Files\Java
2008-07-05 17:48 . 2008-07-05 17:48 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-04 09:49 . 2008-07-04 09:49 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\vlc
2008-07-04 09:47 . 2008-07-04 09:47 <DIR> d-------- C:\Program Files\VideoLAN
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-25 21:05 --------- d-----w C:\Documents and Settings\Administrator\Application Data\StumbleUpon
2008-07-25 12:35 --------- d-----w C:\Documents and Settings\Administrator\Application Data\AVG7
2008-07-05 14:36 --------- d-----w C:\Documents and Settings\Administrator\Application Data\U3
2008-06-23 03:20 --------- d-----w C:\Documents and Settings\Administrator\Application Data\mIRC
2008-06-23 03:16 --------- d-----w C:\Program Files\mIRC
2008-06-20 17:41 245,248 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-07 17:20 --------- d-----w C:\Documents and Settings\All Users\Application Data\avg7
2008-06-06 15:50 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-06-06 04:17 --------- d-----w C:\Documents and Settings\Administrator\Application Data\Tinn-R
2008-05-30 02:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
.
((((((((((((((((((((((((((((( snapshot@2008-07-07_16.44.19.57 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-12 19:06:42 295,606 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1033-7B44-A90000000001}\SC_Reader.exe
- 2004-08-04 12:00:00 138,496 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
+ 2008-06-20 10:44:38 138,368 -c--a-w C:\WINDOWS\system32\dllcache\afd.sys
- 2008-02-20 05:32:43 148,992 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:41:10 148,992 -c--a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
- 2004-08-04 12:00:00 245,248 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
+ 2008-06-20 17:41:10 245,248 -c--a-w C:\WINDOWS\system32\dllcache\mswsock.dll
- 2007-10-30 17:20:55 360,064 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
+ 2008-06-20 10:45:13 360,320 -c--a-w C:\WINDOWS\system32\dllcache\tcpip.sys
- 2006-08-16 09:37:30 225,664 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
+ 2008-06-20 09:52:06 225,920 -c--a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
- 2008-02-20 05:32:43 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
+ 2008-06-20 17:41:10 148,992 ----a-w C:\WINDOWS\system32\dnsapi.dll
- 2007-05-02 06:22:52 49,248 ----a-w C:\WINDOWS\system32\java.exe
+ 2008-02-22 05:23:35 135,168 ----a-w C:\WINDOWS\system32\java.exe
- 2007-05-02 06:23:00 53,346 ----a-w C:\WINDOWS\system32\javaw.exe
+ 2008-02-22 05:23:39 135,168 ----a-w C:\WINDOWS\system32\javaw.exe
- 2007-05-02 08:01:20 127,078 ----a-w C:\WINDOWS\system32\javaws.exe
+ 2008-02-22 06:33:32 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
- 2007-11-30 11:18:51 17,272 ----a-w C:\WINDOWS\system32\spmsg.dll
+ 2007-11-30 12:39:22 17,272 ------w C:\WINDOWS\system32\spmsg.dll
+ 2006-12-02 02:54:32 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcm80.dll
+ 2006-12-02 02:54:34 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcp80.dll
+ 2006-12-02 02:54:32 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_6b128700\msvcr80.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:00 15360]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-21 07:43 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-05-15 19:35 579584]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-19 07:59 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-19 07:59 126976]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"BCMSMMSG"="BCMSMMSG.exe" [2003-08-29 03:59 122880 C:\WINDOWS\BCMSMMSG.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 11:10 219136]
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 04:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{beee7168-5373-11dd-b8ff-000d56014461}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 17:08:33
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-07-25 17:11:09
ComboFix-quarantined-files.txt 2008-07-25 21:10:19
ComboFix2.txt 2008-07-07 20:44:40
Pre-Run: 22,506,004,480 bytes free
Post-Run: 22,770,696,192 bytes free
150 --- E O F --- 2008-07-10 13:16:12
- Télécharge et installe MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
- Mets-le à jour
- Redémarre en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
- Choisis ta session habituelle
- Fais un scan complet avec MalwareByte's Anti-Malware
- Supprime tout ce que le logiciel trouve, enregistre le rapport
- Redémarre en mode normal et poste le rapport ici
Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm
- Mets-le à jour
- Redémarre en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
- Choisis ta session habituelle
- Fais un scan complet avec MalwareByte's Anti-Malware
- Supprime tout ce que le logiciel trouve, enregistre le rapport
- Redémarre en mode normal et poste le rapport ici
Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
