Sujet Précédent Sujet Suivant

Virus "about.Brontok.A"

Fermé
galomert Messages postés 15 Date d'inscription mercredi 19 juillet 2006 Statut Membre Dernière intervention 25 juillet 2008 - 21 juil. 2008 à 21:05
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 1 août 2008 à 21:15
Bonjour,
j'ai le virus about.Brontok.A qui me soule !!!
voici les symptomes :
- lancement de vista a l'aide du "gestionnaire de tache", faut que je tape explorer.exe
- telechargement impossible, l'ordi redemarre seul
- dans le dossier msconfig, il y a : "Bron-Spizaetus", "Tok-cirhatus-2058", "empty" qui sont cocher pour le démarrage et qui revient a chaque fois meme en les décochant.
- dans mon dossier Image il y a le fameux "about.Brontok.A"

j'ai eu ce probleme a partir du moment ou j'ai mis une clef USB dans mon ordi. 1 jour apres ca a commencer les problemes.

C'est grave docteur ?

je suis entrain de faire un rapport BITdefender en ligne. est ce deja une bonne initiative ?
A voir également:

72 réponses

Précédent
Réponse 41 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
28 juil. 2008 à 21:45
Re,

essaye çan aussi :

Télécharge ce programme puis clic droit et exécuter en tant qu'administrateur (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/

Clique sur Unselect all

* Coche uniquement ces cases, décoche tout le reste :

- Recent Files, 30 days

- Registry run keys


Puis clic sur scan now, sois patient.
Une fois le scan terminé, un rapport va s'ouvrir, copie et colle son contenu ici
0
Réponse 42 / 72
galomert
28 juil. 2008 à 23:16
toujours le meme blem !!! n'importe quel liens en rapport a des antivirus me font redémarrer l'ordi du moment ou je clique dessus ! ca soule

LYONNAIS, d'ou tu connait mon Prenom .
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
28 juil. 2008 à 23:34
Salut,
juste de passage pour que tu ne t'inquiètes pas ... ^^

LYONNAIS, d'ou tu connait mon Prenom

--> Fin du rapport de Malwarebytes au poste 17 par exemple :

C:\Users\Corrado\Local Settings\csrss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\csrss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\services.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\smss.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\Users\Corrado\Local Settings\Application Data\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

( pareil pour le rapport bitdefender ) .

... non ... Lyonnais92 n'est pas devin x)))

parcontre entant que destructeur de bestioles informatiques , c'est le meilleur ! ( ou presque ... )

bonne chance ...=)

A+
0
Réponse 43 / 72
galomert
29 juil. 2008 à 03:42
# PCA Sécurité V 1.2.11, (fichier LOG).
# Rapport du :29/07/2008 03:40:54
Windows Vista (TM) Home Premium Service Pack 1

==>> Processus <==
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\explorer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Corrado\AppData\Local\Temp\Rar$EX00.772\pca.exe

//pages de démarrage et de recherche d'Internet Explorer
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
RO - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Page_URL = http://ie.redirect.hp.com/...
RO - HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main\Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main\Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
//applications lancées depuis system.ini,win.ini
//03 - Browser Helper Objects (BHOs)
02 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
02 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
02 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
02 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
02 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
//04 - applications chargées automatiquement
04 - HKCU\..\RUN: [Tok-Cirrhatus] -
04 - HKLM\..\RunOnce: [Launcher] -
04 - HKUS\S-1-5-19\..\RUN: [Sidebar] -
04 - HKUS\S-1-5-19\..\RUN: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKUS\S-1-5-20\..\RUN: [Sidebar] -
04 - HKUS\S-1-5-20\..\RUN: [WindowsWelcomeCenter] - rundll32.exe oobefldr.dll,ShowWelcomeCenter
04 - HKUS\S-1-5-21-4206858269-2992255924-3884812634-1000\..\RUN: [Tok-Cirrhatus] -
//05 - Accès au panneau de contrôle d'Internet Explorer (control.ini)
//06- interdiction à l' accès au options (Internet Explorer)
//07 - blocage de l'exécution de Regedit
//08 - lignes supplémentaires dans le menu contextuel d'Internet Explorer
08 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
08 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
//09 - boutons situés sur la barre d'outils principale d'Internet Explorer
09 - Extra button: - CmdMapping -
09 - Extra 'Tools' menuitem: - CmdMapping -
09 - Extra button: - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
09 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
09 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
09 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
09 - Extra button: - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
09 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
09 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra 'Tools' menuitem: - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
09 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
09 - Extra 'Tools' menuitem: - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
09 - Extra button: - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
09 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
//O10 - Pirates de Winsock
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\nlasvc.dll,-1000 - %SystemRoot%\system32\NLAapi.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\napinsp.dll,-1000 - %SystemRoot%\system32\napinsp.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\pnrpnsp.dll,-1000 - %SystemRoot%\system32\pnrpnsp.dll
O10 - fichier inconnu - winsock lsp : @%SystemRoot%\system32\pnrpnsp.dll,-1001 - %SystemRoot%\system32\pnrpnsp.dll
O10 - fichier inconnu - winsock lsp : Espace de noms Bluetooth - %SystemRoot%\system32\wshbth.dll
//O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer)
O11 - Options group: [INTERNATIONAL] - International*
//O12 - IE plugins
//013 : DefaultPrefix
//014 - Option : (Rétablir les paramètres Web)
//015 - Zone de confiance d'Internet Explorer
//O16 - Objets ActiveX
O16 - DPF : - {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} -
O16 - DPF : Shockwave ActiveX Control - {233C1507-6A77-46A4-9443-F871F945D258} - C:\Windows\System32\Adobe\Director\swdir.dll
O16 - DPF : EPUImageControl Class - {4C39376E-FA9D-4349-BACC-D305C1750EF3} - C:\Windows\Downloaded Program Files\EPUWALcontrol.dll
O16 - DPF : BDSCANONLINE Control - {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - C:\Windows\DOWNLO~1\oscan82.ocx
O16 - DPF : - {67DABFBF-D0AB-41FA-9C46-CC0F21721616} -
O16 - DPF : - {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} -
//O17 - piratage de domaine Lop.com
//O18 - protocoles additionnels
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} -
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} -
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
//O19 - feuille de style de l'utilisateur
//O20 - valeur de Registre AppInit_DLLs et les sous-clés Winlogon Notify
//O21 - ShellServiceObjectDelayLoad
//O22 - SharedTaskScheduler
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll
//O23 - services de XP,NT, 2000, et 2003
O23 - Service: [@%SystemRoot%\system32\Alg.exe,-112] - %SystemRoot%\System32\alg.exe
O23 - Service: [avast! iAVS4 Control Service] - "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe"
O23 - Service: [avast! Antivirus] - "C:\Program Files\Alwil Software\Avast4\ashServ.exe"
O23 - Service: [avast! Mail Scanner] - "C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service
O23 - Service: [avast! Web Scanner] - "C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service
O23 - Service: [CyberLink Background Capture Service (CBCS)] - "C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe"
O23 - Service: [Microsoft .NET Framework NGEN v2.0.50727_X86] - %systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: [CyberLink Task Scheduler (CTS)] - "C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe"
O23 - Service: [Com4Qlb] - "C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe"
O23 - Service: [@comres.dll,-947] - %SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
O23 - Service: [@dfsrres.dll,-101] - %SystemRoot%\system32\DFSR.exe
O23 - Service: [@%SystemRoot%\ehome\ehrecvr.exe,-101] - %systemroot%\ehome\ehRecvr.exe
O23 - Service: [@%SystemRoot%\ehome\ehsched.exe,-101] - %systemroot%\ehome\ehsched.exe
O23 - Service: [@%SystemRoot%\system32\PresentationHost.exe,-3309] - %systemroot%\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Service: [HP Health Check Service] - "C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe"
O23 - Service: [hpqwmiex] - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: [Intel(R) Matrix Storage Event Monitor] - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: [InstallDriver Table Manager] - "C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe"
O23 - Service: [LightScribeService Direct Disc Labeling Service] - "C:\Program Files\Common Files\LightScribe\LSSrvc.exe"
O23 - Service: [@comres.dll,-2797] - %SystemRoot%\System32\msdtc.exe
O23 - Service: [@%SystemRoot%\system32\msimsg.dll,-27] - %systemroot%\system32\msiexec /V
O23 - Service: [NBService] - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: [NMIndexingService] - "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe"
O23 - Service: [Microsoft Office Diagnostics Service] - "C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE"
O23 - Service: [Office Source Engine] - "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE"
O23 - Service: [@%systemroot%\system32\Locator.exe,-2] - %SystemRoot%\system32\locator.exe
O23 - Service: [@%SystemRoot%\system32\sdrsvc.dll,-107] - %SystemRoot%\system32\svchost.exe -k SDRSVC
O23 - Service: [@%SystemRoot%\system32\SLsvc.exe,-101] - %SystemRoot%\system32\SLsvc.exe
O23 - Service: [@%SystemRoot%\system32\snmptrap.exe,-3] - %SystemRoot%\System32\snmptrap.exe
O23 - Service: [@%systemroot%\system32\spoolsv.exe,-1] - %SystemRoot%\System32\spoolsv.exe
O23 - Service: [@%SystemRoot%\system32\wiaservc.dll,-9] - %SystemRoot%\system32\svchost.exe -k imgsvc
O23 - Service: [stllssvr] - "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe"
O23 - Service: [@%SystemRoot%\System32\swprv.dll,-103] - %SystemRoot%\System32\svchost.exe -k swprv
O23 - Service: [@%SystemRoot%\servicing\TrustedInstaller.exe,-100] - %SystemRoot%\servicing\TrustedInstaller.exe
O23 - Service: [@%SystemRoot%\system32\ui0detect.exe,-101] - %SystemRoot%\system32\UI0Detect.exe
O23 - Service: [Service Messenger Sharing Folders USN Journal Reader] - "C:\Program Files\Windows Live\Messenger\usnsvc.exe"
O23 - Service: [@%SystemRoot%\system32\vds.exe,-100] - %SystemRoot%\System32\vds.exe
O23 - Service: [@%systemroot%\system32\vssvc.exe,-102] - %systemroot%\system32\vssvc.exe
O23 - Service: [Windows Live Setup Service] - "C:\Program Files\Windows Live\installer\WLSetupSvc.exe"
O23 - Service: [@%Systemroot%\system32\wbem\wmiapsrv.exe,-110] - %systemroot%\system32\wbem\WmiApSrv.exe
O23 - Service: [@%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101] - "%ProgramFiles%\Windows Media Player\wmpnetwk.exe"
O23 - Service: [@%systemroot%\system32\SearchIndexer.exe,-103] - %systemroot%\system32\SearchIndexer.exe /Embedding
0
Réponse 44 / 72
galomert
29 juil. 2008 à 04:05
OYE OYE !!!! A TOUS LES GENS.

apparamment j'ai réussi a m'en debarasser. (j'espere en tout cas) :

Winodws ma demandé de faire une mise a jour de Vista, ce que j'ai fait. l'ordi redemarré, je me suis dit : et si ca marcherais maintenant les telechargement ? et ben Binguo !!!! ca marche.

donc j'ai telecharger : PCA, CleanX-II et dss

j'ai suivi les 3 methode de chaque Logiciel et apparament ca a marcher car lorsque je l'ai redémarrer, la il a pas été capricieux, plus obliger de passer par le gestionnair de tache etc ...

pour le moment quoi. par contre, j'ai toujour ce "about.Brontok" qui revient dans mes images.

dois je faire autre chose voir si tout c'est bien ppassé ?????
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 07:56
Bonjour,

et bravo !!!!!!!!!!!!!!

Refais tourner DSS et poste le rapport.

PCA d'esvola dit qu'il y a une autre infection.

Si tu as un rapport de Clean X-II, poste le aussi.
0
Réponse 46 / 72
galomert
29 juil. 2008 à 13:43
voici le rapport DSS :
Deckard's System Scanner v20071014.68
Run by Corrado on 2008-07-29 13:06:07
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- Last 2 Restore Point(s) --
2: 2008-07-29 02:13:15 UTC - RP802 - Kaspersky Anti-Virus 2009 est installé.
1: 2008-07-29 00:29:26 UTC - RP801 - Windows Update


Backed up registry hives.
Performed disk cleanup.

[color=red]System Drive C: has 4.34 GiB (less than 15%) free.[/color]


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-29 13:10:38
Platform: Windows Vista Service Pack 1 (6.00.6001)
MSIE: Internet Explorer (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\System32\dwm.exe
C:\Windows\explorer.exe
C:\Windows\System32\taskeng.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Corrado\Desktop\news\dss.exe
C:\Windows\System32\conime.exe
C:\Windows\System32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - CmdMapping - (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - (file missing)
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} () - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} () - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\microsoft shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

0
Réponse 47 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 14:32
Re,

On continue.

Télécharge Toolbar-S&D sur ton Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue puis valide.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Copie/colle le contenu du rapport situé dans C:\TB.txt .
0
Réponse 48 / 72
galomert
29 juil. 2008 à 14:50
-----------\\ ToolBar S&D 1.0.7 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Corrado ] [ "C:\Toolbar SD" ] [ Selection : 1 ]
[ 29/07/2008 | 14:49:58,00 ] [ PC : PC-DE-CORRADO ]
[ MAJ : 25-07-2008 | 17:35 ]
[ UAC => 0 ]

-----------\\ Recherche de Fichiers / Dossiers ...

C:\ProgramData\GamesBar
C:\Program Files\Search Settings
C:\Program Files\Search Settings\kb127
C:\Program Files\Search Settings\SearchSettings.exe
C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-4206858269-2992255924-3884812634-1000.db
C:\Windows\Prefetch\AgGlUAD_S-1-5-21-4206858269-2992255924-3884812634-1000.db
C:\Windows\iun6002.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF"
"Default_Page_URL"="https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


[ UAC => 1 ]

-----------\\ Fin du rapport a 14:50:06,57
0
Réponse 49 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 15:06
Re,


* Double-clique sur le raccourci de Toolbar-S&D.

* Choisis maintenant l'option 2. Patiente jusqu'à la fin de la recherche.

* Copie/colle le contenu du rapport situé dans C:\TB.txt .

remets aussi un rapport DSS
0
Réponse 50 / 72
galomert
29 juil. 2008 à 15:19
-----------\\ ToolBar S&D 1.0.7 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Corrado ] [ "C:\Toolbar SD" ] [ Selection : 2 ]
[ 29/07/2008 | 15:14:40,42 ] [ PC : PC-DE-CORRADO ]
[ MAJ : 25-07-2008 | 17:35 ]
[ UAC => 0 ]

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Search Settings\kb127
Supprime! - C:\Program Files\Search Settings\SearchSettings.exe
Supprime! - C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-4206858269-2992255924-3884812634-1000.db
Supprime! - C:\Windows\Prefetch\AgGlUAD_S-1-5-21-4206858269-2992255924-3884812634-1000.db
Supprime! - C:\Windows\iun6002.exe
Supprime! - C:\ProgramData\GamesBar
Supprime! - C:\Program Files\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF"
"Default_Page_URL"="https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


[ UAC => 1 ]

-----------\\ Fin du rapport a 15:17:59,36
0
Réponse 51 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 15:55
Re,

le rapport DSS.

On va essayer de finir ce soir.
0
Réponse 52 / 72
galomert
29 juil. 2008 à 16:46
Deckard's System Scanner v20071014.68
Run by Corrado on 2008-07-29 16:44:18
Computer is in Normal Mode.
--------------------------------------------------------------------------------

[color=red]System Drive C: has 4.2 GiB (less than 15%) free.[/color]


-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-07-29 16:45:31
Platform: Windows Vista Service Pack 1 (6.00.6001)
MSIE: Internet Explorer (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\System32\taskeng.exe
C:\Windows\System32\dwm.exe
C:\Windows\System32\wbem\unsecapp.exe
C:\Windows\explorer.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\microsoft shared\Windows Live\WLLoginProxy.exe
C:\Users\Corrado\Desktop\news\dss.exe
C:\Windows\System32\dllhost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb127\SearchSettings.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\microsoft shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETWORK SERVICE')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - CmdMapping - (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - (file missing)
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} () - http://appldnld.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-24-0.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} () - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Protocol: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\microsoft shared\Help\hxds.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\microsoft shared\Information Retrieval\msitss.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.8.5.1302.1018.dll
O18 - Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Unknown owner - C:\Program Files\Nero\Nero 7\Nero
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: stllssvr - Unknown owner - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

0
Réponse 53 / 72
galomert
29 juil. 2008 à 20:04
up !
0
Réponse 54 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 20:05
Bonsoir,

on va faire passer Combofix, si il veut bien.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.


télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 55 / 72
galomert
29 juil. 2008 à 20:36
ComboFix 08-07-28.6 - Corrado 2008-07-29 20:29:17.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.1.1036.18.1340 [GMT 2:00]
Endroit: C:\Users\Corrado\Desktop\ComboFix.exe
* Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((( Fichiers créés 2008-06-28 to 2008-07-29 ))))))))))))))))))))))))))))))))))))
.

2008-07-29 14:49 . 2008-07-29 15:17 <REP> d-------- C:\Toolbar SD
2008-07-29 04:27 . 2008-07-29 04:28 225,594,157 --a------ C:\Windows\MEMORY.DMP
2008-07-29 04:15 . 2008-07-29 04:25 96,559 --a------ C:\Windows\System32\drivers\klin.dat
2008-07-29 04:15 . 2008-07-29 04:25 87,855 --a------ C:\Windows\System32\drivers\klick.dat
2008-07-29 04:14 . 2008-07-29 15:14 <REP> d-------- C:\Users\All Users\Kaspersky Lab
2008-07-29 04:14 . 2008-07-29 04:14 <REP> d-------- C:\Program Files\Kaspersky Lab
2008-07-29 04:14 . 2008-07-29 15:14 <REP> d-------- C:\PROGRA~2\Kaspersky Lab
2008-07-29 04:14 . 2008-07-29 15:13 3,519,520 --ahs---- C:\Windows\System32\drivers\fidbox.dat
2008-07-29 04:14 . 2008-07-29 15:42 262,176 --ahs---- C:\Windows\System32\drivers\fidbox2.dat
2008-07-29 04:14 . 2008-07-29 15:13 29,624 --ahs---- C:\Windows\System32\drivers\fidbox.idx
2008-07-29 04:14 . 2008-07-29 15:42 1,976 --ahs---- C:\Windows\System32\drivers\fidbox2.idx
2008-07-29 03:56 . 2008-07-29 03:56 <REP> d-------- C:\Deckard
2008-07-29 02:30 . 2008-05-27 06:59 106,605 --a------ C:\Windows\System32\StructuredQuerySchema.bin
2008-07-29 02:30 . 2008-05-27 07:17 34,816 --a------ C:\Windows\System32\msscb.dll
2008-07-29 02:30 . 2008-05-27 06:59 18,904 --a------ C:\Windows\System32\StructuredQuerySchemaTrivial.bin
2008-07-29 02:30 . 2008-05-27 07:17 11,776 --a------ C:\Windows\System32\msshooks.dll
2008-07-23 17:24 . 2008-07-23 17:24 <REP> d-------- C:\Users\All Users\Malwarebytes
2008-07-23 17:24 . 2008-07-23 17:24 <REP> d-------- C:\PROGRA~2\Malwarebytes
2008-07-22 11:52 . 2008-07-22 11:52 <REP> d-------- C:\autorun.MSNFix
2008-07-22 11:46 . 2008-07-22 11:46 173 --a------ C:\curr_ver.tmp
2008-07-21 20:46 . 2008-07-22 03:35 <REP> d-------- C:\Windows\BDOSCAN8
2008-07-21 20:00 . 2008-07-29 02:37 <REP> d-------- C:\Windows\ShellNew
2008-07-11 11:46 . 2008-06-26 03:45 12,240,896 --a------ C:\Windows\System32\NlsLexicons0007.dll
2008-07-11 11:46 . 2008-06-26 03:45 2,644,480 --a------ C:\Windows\System32\NlsLexicons0009.dll
2008-07-11 11:46 . 2008-06-26 05:29 801,280 --a------ C:\Windows\System32\NaturalLanguage6.dll
2008-07-03 01:08 . 2008-07-03 01:08 <REP> d-------- C:\Program Files\Red Kawa
2008-07-02 18:09 . 2008-07-02 18:09 510 --a------ C:\Windows\WORDPAD.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-29 12:33 214,893,813 ----a-w C:\Program Files\dvd1983-scn_2.wmv
2008-07-21 19:11 --------- d-----w C:\Program Files\Sony
2008-07-18 14:34 --------- d-----w C:\Program Files\CSO-DAX Compressor
2008-07-10 05:07 --------- d-----w C:\Program Files\Windows Mail
2008-07-07 20:04 --------- d-----w C:\Program Files\eMule
2008-06-29 22:46 --------- d-----w C:\Program Files\BitComet
2008-06-25 16:00 0 ---ha-w C:\Windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-06-24 19:16 174 --sha-w C:\Program Files\desktop.ini
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Sidebar
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Journal
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Defender
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Collaboration
2008-06-24 19:06 --------- d-----w C:\Program Files\Windows Calendar
2008-06-24 19:05 --------- d-----w C:\Program Files\Microsoft Games
2008-06-24 13:40 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-06-24 13:40 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-23 11:43 --------- d-----w C:\Program Files\Syncrosoft
2008-06-22 23:05 --------- d-----w C:\Program Files\DivX
2008-06-22 23:03 --------- d-----w C:\PROGRA~2\Pinnacle
2008-06-19 17:56 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-06 15:28 --------- d-----w C:\Program Files\Propellerhead
2008-06-06 11:46 --------- d-----w C:\Program Files\Image-Line
2008-06-05 15:44 --------- d-----w C:\PROGRA~2\Propellerhead Software
2008-06-02 15:57 --------- d-----w C:\Program Files\Free Audio Pack converter
2008-05-27 05:21 1,582,592 ----a-w C:\Windows\System32\tquery.dll
2008-05-27 05:21 1,418,240 ----a-w C:\Windows\System32\mssrch.dll
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\SearchFilterHost.exe
2008-05-27 05:17 87,552 ----a-w C:\Windows\System32\mssitlb.dll
2008-05-27 05:17 754,176 ----a-w C:\Windows\System32\propsys.dll
2008-05-27 05:17 60,416 ----a-w C:\Windows\System32\msscntrs.dll
2008-05-27 05:17 6,103,040 ----a-w C:\Windows\System32\chtbrkr.dll
2008-05-27 05:17 32,768 ----a-w C:\Windows\System32\mssprxy.dll
2008-05-27 05:17 313,344 ----a-w C:\Windows\System32\thawbrkr.dll
2008-05-27 05:17 301,568 ----a-w C:\Windows\System32\srchadmin.dll
2008-05-27 05:17 194,560 ----a-w C:\Windows\System32\offfilt.dll
2008-05-27 05:17 143,872 ----a-w C:\Windows\System32\korwbrkr.dll
2008-05-27 05:17 1,671,680 ----a-w C:\Windows\System32\chsbrkr.dll
2008-05-22 22:20 200,704 ----a-w C:\Windows\System32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\Windows\System32\libdivx.dll
2008-05-10 03:35 564,736 ----a-w C:\Windows\System32\emdmgmt.dll
2008-05-08 21:59 90,112 ----a-w C:\Windows\System32\wshext.dll
2008-05-08 21:59 430,080 ----a-w C:\Windows\System32\vbscript.dll
2008-05-08 21:59 180,224 ----a-w C:\Windows\System32\scrobj.dll
2008-05-08 21:59 172,032 ----a-w C:\Windows\System32\scrrun.dll
2008-05-08 21:59 155,648 ----a-w C:\Windows\System32\wscript.exe
2008-05-08 21:58 135,168 ----a-w C:\Windows\System32\cscript.exe
2008-04-29 03:54 181,760 ----a-w C:\Windows\System32\fsquirt.exe
2007-08-29 13:06 278,528 ----a-w C:\Program Files\Common Files\FDEUnInstaller.exe
2005-05-11 12:23 1 --sha-w C:\Windows\fidbox.dat
2007-09-03 18:26 22 --sha-w C:\Windows\SMINST\HPCD.sys
.
[code]<pre>
----a-w 325,204 2006-12-21 19:56:28 C:\SwSetup\SP34746\WCAMC\FW_210_Silence Install .exe
</pre>/code


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-04-25 18:21 201992]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ValidateAdminCodeSignatures"= 1 (0x1)
"FilterAdministratorToken"= 1 (0x1)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Synchronizer.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Synchronizer.lnk
backup=C:\Windows\pss\Adobe Reader Synchronizer.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^AOL 9.0 Icône AOL.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AOL 9.0 Icône AOL.lnk
backup=C:\Windows\pss\AOL 9.0 Icône AOL.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Lancement rapide d'Adobe Reader.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Lancement rapide d'Adobe Reader.lnk
backup=C:\Windows\pss\Lancement rapide d'Adobe Reader.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^Corrado^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif]
path=C:\Users\Corrado\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
backup=C:\Windows\pss\Empty.pif.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]
--a------ 2007-09-01 01:40 2321600 C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
C:\Program Files\Common Files\AOL\ACS\AOLDial.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bron-Spizaetus]
C:\Windows\ShellNew\RakyatKelaparan.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
c:\Program Files\Common Files\Symantec Shared\ccApp.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Health Check Scheduler]
--a------ 2007-03-12 11:54 50696 C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant]
--a------ 2007-03-01 13:18 472776 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
--a------ 2007-02-12 16:37 174872 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IS CfgWiz]
c:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kaspersky Anti-Virus 2006]
C:\Program Files\Kaspersky Lab\AVP6\avp.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mijwyefd]
C:\Windows\system32\kjshsvsr.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MS32DLL]
C:\Windows\MS32DLL.dll.vbs [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 12:34 5724184 C:\Program Files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MySpaceIM]
C:\Program Files\MySpace\IM\MySpaceIM.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-05-01 12:27 8429568 C:\Windows\System32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-05-01 12:27 81920 C:\Windows\System32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
--a------ 2007-05-01 12:27 86016 C:\Windows\System32\nvsvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl]
--a------ 2007-02-13 11:38 159744 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QPService]
--a------ 2007-04-23 18:11 176128 C:\Program Files\HP\QuickPlay\QPService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Program Files\QuickTime\QTTask.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings]
C:\Program Files\Search Settings\SearchSettings.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL]
--a------ 2006-10-09 22:43 729088 C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Speech Recognition]
--a------ 2008-01-19 09:33 49664 C:\Windows\Speech\Common\sapisvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--a------ 2007-08-31 16:46 1460560 C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2007-09-15 03:50 1021224 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPStart]
--a------ 2007-09-15 03:29 102400 C:\Program Files\Synaptics\SynTP\SynTPStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus-2058]
C:\Users\Corrado\AppData\Local\br5139on.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WAWifiMessage]
--a------ 2007-01-10 16:12 317128 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
--a------ 2008-01-19 09:38 1008184 C:\Program Files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
--a------ 2007-03-09 19:50 4390912 C:\Windows\RtHDVCpl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UacDisableNotify"=dword:00000001
"InternetSettingsDisableNotify"=dword:00000001
"AutoUpdateDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{394C533B-4CC1-4246-B362-3E4670DD45AE}"= C:\Program Files\HP\QuickPlay\QP.exe:Quick Play
"{A0D656E2-4E3F-4346-9AF0-1784F49B370E}"= C:\Program Files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"{E9700DD2-050E-4830-8C93-832E14A18463}"= Disabled:UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{D344DB5F-C5F3-44E3-A3CC-55968796A2F2}"= Disabled:TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{6B3457A2-6EBB-402E-8C10-3A8FEDAFDA91}C:\\program files\\internet explorer\\iexplore.exe"= UDP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"UDP Query User{AAF1863A-C0EF-4B4D-B716-45FD18BED69D}C:\\program files\\internet explorer\\iexplore.exe"= TCP:C:\program files\internet explorer\iexplore.exe:Internet Explorer
"TCP Query User{A874C707-D8F1-4601-A008-E0C00DB77D0D}C:\\program files\\emule\\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{6AC94B1A-D3B4-4E13-B887-F4C3CDB35C46}C:\\program files\\emule\\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{C2E70F68-7DEF-460C-8322-DDF5D6B072B6}"= UDP:C:\Program Files\Common Files\AOL\ACS\AOLacsd.exe:AOL
"{4489134E-3826-435F-AC6D-85B159A39019}"= TCP:C:\Program Files\Common Files\AOL\ACS\AOLacsd.exe:AOL
"{B6B748F4-C964-4B81-A91E-93A5E67E6F16}"= UDP:C:\Program Files\Common Files\AOL\ACS\AOLDial.exe:AOL
"{C114D0B1-1A79-45FC-B171-A8556EA69D0E}"= TCP:C:\Program Files\Common Files\AOL\ACS\AOLDial.exe:AOL
"{9001CAE8-9CDC-46AC-9351-E6957EC93A7D}"= UDP:C:\Program Files\Common Files\AOL\ACS\AOLacsd.exe:AOL
"{56A83B31-B762-488A-B173-776A2894E1C5}"= TCP:C:\Program Files\Common Files\AOL\ACS\AOLacsd.exe:AOL
"{4EACD929-ECAD-43F2-A08D-827F2CE211D7}"= UDP:C:\Program Files\Common Files\AOL\ACS\AOLDial.exe:AOL
"{FE4303F6-DA63-4D4F-BB5F-3414DA2240B8}"= TCP:C:\Program Files\Common Files\AOL\ACS\AOLDial.exe:AOL
"TCP Query User{0BC85039-FC9D-45C2-8672-4E0C950D016B}C:\\users\\corrado\\desktop\\emule.exe"= UDP:C:\users\corrado\desktop\emule.exe:emule.exe
"UDP Query User{898B0540-2106-4CC4-8286-DB417B613548}C:\\users\\corrado\\desktop\\emule.exe"= TCP:C:\users\corrado\desktop\emule.exe:emule.exe
"{3F02AE31-21F3-42B4-985B-06E1F4CAD841}"= UDP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{2D76E154-FE39-4913-AE8A-FDE1080153FF}"= TCP:C:\Program Files\Winamp Remote\bin\Orb.exe:Orb
"{FC4B22E4-670E-45A7-B876-57768C358036}"= UDP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{A13EE0FC-1F55-44F6-A339-302E65B7628D}"= TCP:C:\Program Files\Winamp Remote\bin\OrbTray.exe:OrbTray
"{B5C1A022-BB1E-4F52-8166-DF8FEF1C5731}"= UDP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{0FD80F68-B039-4AA8-8CFE-B0B9094D373C}"= TCP:C:\Program Files\Winamp Remote\bin\OrbIR.exe:OrbIR
"{0A3CAF7F-1B70-48F4-80A7-F03B102F069D}"= UDP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"{678A1B50-FCBB-456F-838F-73E99E4904C9}"= TCP:C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:Orb Stream Client
"TCP Query User{37DE6567-6E6C-4834-9385-089823895476}C:\\users\\corrado\\desktop\\viviplay.exe"= UDP:C:\users\corrado\desktop\viviplay.exe:viviplay.exe
"UDP Query User{503B1753-A77F-46F2-AF89-8DCFF03C8E21}C:\\users\\corrado\\desktop\\viviplay.exe"= TCP:C:\users\corrado\desktop\viviplay.exe:viviplay.exe
"TCP Query User{AA44DFEA-6C40-4013-B3C0-D489BF795B9D}C:\\program files\\viviplay.exe"= UDP:C:\program files\viviplay.exe:ViViMediaPlay
"UDP Query User{561D3765-BF30-4AE7-9DEC-37366FC2B289}C:\\program files\\viviplay.exe"= TCP:C:\program files\viviplay.exe:ViViMediaPlay
"{FBE87BE3-68C1-4C6F-9422-FE07C4F9471A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{E0F53F23-86F4-44AD-A727-669A619684B1}"= UDP:21023:BitComet 21023 TCP
"{067CA1AD-2084-453F-BD43-5A365D255602}"= TCP:21023:BitComet 21023 UDP
"TCP Query User{ED9CB2FE-15BD-47D3-8E26-05AFD236E2EB}C:\\program files\\bitcomet\\bitcomet.exe"= UDP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"UDP Query User{FF41D150-7FFF-4A01-AF60-07329200804C}C:\\program files\\bitcomet\\bitcomet.exe"= TCP:C:\program files\bitcomet\bitcomet.exe:BitComet - a BitTorrent Client
"{94360218-BD7F-4761-95AC-9AFAAF2F0760}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\Windows\system32\drivers\klbg.sys [2008-01-29 18:29]
R1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;C:\Windows\system32\DRIVERS\klim6.sys [2008-03-26 13:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.fr/
R0 -: HKLM-Main,Start Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop
O8 -: &Recherche AOL Toolbar - C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-29 20:31:04
Windows 6.0.6001 Service Pack 1 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-07-29 20:32:51
ComboFix-quarantined-files.txt 2008-07-29 18:32:44

Pre-Run: 3,001,626,624 octets libres
Post-Run: 3,591,913,472 octets libres

269 --- E O F --- 2008-07-29 00:31:10
0
Réponse 56 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 22:07
Re,

Acte 1 :

Télécharge Toolbar-S&D sur ton Bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique sur le raccourci de Toolbar-S&D.
* Sélectionne la langue puis valide.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Copie/colle le contenu du rapport situé dans C:\TB.txt .

Je te prépare l'acte 2. Mais tu fais celui-ci d'abord.
0
Réponse 57 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
29 juil. 2008 à 22:28
Re,

Acte 2 :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


File::
C:\Windows\ShellNew\RakyatKelaparan.exe
C:\Users\Corrado\AppData\Local\br5139on.exe
C:\Windows\MS32DLL.dll.vbs
C:\Windows\system32\kjshsvsr.exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bron-Spizaetus]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus-2058]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MS32DLL]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mijwyefd]
C:\Windows\system32\kjshsvsr.exe

RenV::
C:\SWSetup\SP34746\WCAMC\FW_210_Silence Install .exe

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

Acte 3

Mets à jour MBAM et relance le.

Poste le rapport.
0
Réponse 58 / 72
galomert
30 juil. 2008 à 14:07
voici l'acte 1 :

.

-----------\\ ToolBar S&D 1.0.7 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Corrado ] [ "C:\Toolbar SD" ] [ Selection : 1 ]
[ 30/07/2008 | 14:05:07,63 ] [ PC : PC-DE-CORRADO ]
[ MAJ : 25-07-2008 | 17:35 ]
[ UAC => 0 ]

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-4206858269-2992255924-3884812634-1000.db
C:\Windows\Prefetch\AgGlUAD_S-1-5-21-4206858269-2992255924-3884812634-1000.db
C:\Users\Corrado\AppData\Local\MICROS~1\Windows\TEMPOR~1\content.IE5\NHEGIVOH\b302b4ee7d64f8848ef4162ec188e3[1].jpg

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.msn.com/fr-fr?cobrand=hp-notebook.msn.com&ocid=HPDHP&pc=HPNTDF"
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


[ UAC => 1 ]

-----------\\ Fin du rapport a 14:05:30,99
0
Réponse 59 / 72
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
30 juil. 2008 à 15:42
Bonjour,

tu fais bien passer Combofix avec le script modifié.

Tu enchaines avec :

Relance Lop S&D

Choisis cette fois ci l'Option 2 ( Suppression )
Ne ferme pas la fenêtre lors de la suppression !
Poste le rapport généré ( C:\lopR.txt )

( Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide )
0
Réponse 60 / 72
galomert
30 juil. 2008 à 16:10
-----------\\ ToolBar S&D 1.0.7 XP/Vista

[ Windows VISTA (NT 6.0) Workstation Build 6001, Service Pack 1 ]
[ USER : Corrado ] [ "C:\Toolbar SD" ] [ Selection : 2 ]
[ 30/07/2008 | 16:08:10,10 ] [ PC : PC-DE-CORRADO ]
[ MAJ : 25-07-2008 | 17:35 ]
[ UAC => 0 ]

-----------\\ SUPPRESSION

Supprime! - C:\Windows\Prefetch\AgGlUAD_P_S-1-5-21-4206858269-2992255924-3884812634-1000.db
Supprime! - C:\Windows\Prefetch\AgGlUAD_S-1-5-21-4206858269-2992255924-3884812634-1000.db

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="https://www.google.fr/?gws_rd=ssl"
"Local Page"="C:\\Windows\\system32\\blank.htm"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Url"="https://www.msn.com/fr-fr/actualite/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://ie.redirect.hp.com/..."
"Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
"Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
"Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"


[ UAC => 1 ]

-----------\\ Fin du rapport a 16:09:39,85
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses