Sujet Précédent Sujet Suivant

Urgent! infecté par le Virus BM251a25c3

Résolu
CtrlAltSuppr Messages postés 53 Statut Membre -  
DeNisCoOl Messages postés 2871 Statut Membre -
Bonsoir les forumeurs,

Bon voilà que j'ai un virus récalcitrant que je n'arrive pas à supprimer. J'ai déjà passé SpybotS&D en mode sans echec et avant l'ouverture de session + Avast. Je crois qu'il va falloir faire un combofix + d'autres prog pour en venir à bout sauf que je suis assez peu expérimentée avec le log de hijackthis... Au passage, je suppose qu'il y a aussi d'autres spyware et trojan car j'ai des popup publicitaires par moment pour des prog antivirus...

Je vous remercie d'avance pour toute aide que vous pouvez m'apporter, voici le log hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:49, on 2008-07-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2f%3flang%3den-CA
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [BM251a25c3] Rundll32.exe "C:\WINDOWS\system32\ecbfagcr.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: rappel.txt.txt
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\MDT6\AcPreview.ocx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O24 - Desktop Component 0: (no name) - http://www.rockdetente.com/emissions/images/15_1.jpg
O24 - Desktop Component 1: (no name) - file:///E:/htmldata/images/img00013.tis
A voir également:

16 réponses

Réponse 1 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Salut,

Infection Vundo/Virtumonde donc ComboFix est une très bonne idée.

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Merci! c'est fait et voici mon rapport quoique je crois que combofix ait quelque chose à voir avec une modif du registre concernant avast.
Voici le rapport

ComboFix 08-07-29.1 - MIKE 2008-07-29 21:47:30.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.207 [GMT -4:00]
Endroit: C:\Documents and Settings\MIKE\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\HotbarSA
C:\Documents and Settings\All Users\Application Data\HotbarSA\HotbarSA.dat
C:\Documents and Settings\All Users\Application Data\HotbarSA\HotbarSA_kyf.dat
C:\Documents and Settings\All Users\Application Data\HotbarSA\HotbarSAAbout.mht
C:\Documents and Settings\All Users\Application Data\HotbarSA\HotbarSAEULA.mht
C:\Documents and Settings\MIKE\Application Data\macromedia\Flash Player\#SharedObjects\KG8NP3LU\interclick.com
C:\Documents and Settings\MIKE\Application Data\macromedia\Flash Player\#SharedObjects\KG8NP3LU\interclick.com\ud.sol
C:\Documents and Settings\MIKE\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\MIKE\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\WINDOWS\BM251a25c3.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bxfhhqdl.ini
C:\WINDOWS\system32\efcCsqoP.dll
C:\WINDOWS\system32\esfnlmpr.dll
C:\WINDOWS\system32\exkelpjk.ini
C:\WINDOWS\system32\fmwxgt.dll
C:\WINDOWS\system32\gpjpckjx.ini
C:\WINDOWS\system32\ieupdates.exe
C:\WINDOWS\system32\kqpiukej.ini
C:\WINDOWS\system32\ldqhhfxb.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\odivcsox.ini
C:\WINDOWS\system32\PoqsCcfe.ini
C:\WINDOWS\system32\PoqsCcfe.ini2
C:\WINDOWS\system32\qdalnhfk.ini
C:\WINDOWS\system32\winsrc.dll.tmp
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-28 to 2008-07-30 ))))))))))))))))))))))))))))))))))))
.

2008-07-29 11:12 . 2008-07-29 11:12 105,472 --a------ C:\WINDOWS\system32\jwrncn.dll
2008-07-29 11:12 . 2008-07-29 11:12 105,472 --a------ C:\WINDOWS\system32\hbxewplk.dll
2008-07-29 11:09 . 2008-07-29 11:09 83,456 --a------ C:\WINDOWS\system32\xoscvido.dll
2008-07-29 11:06 . 2008-07-29 11:06 91,648 --a------ C:\WINDOWS\system32\ecbfagcr.dll
2008-07-29 10:20 . 2008-07-29 10:20 <REP> d-------- C:\Program Files\Trend Micro
2008-07-28 12:11 . 2008-07-28 12:11 105,472 --a------ C:\WINDOWS\system32\ttahxd.dll
2008-07-28 12:11 . 2008-07-28 12:11 105,472 --a------ C:\WINDOWS\system32\osejqavu.dll
2008-07-28 12:08 . 2008-07-28 12:08 83,456 --a------ C:\WINDOWS\system32\xjkcpjpg.dll
2008-07-28 12:05 . 2008-07-28 12:05 91,648 --a------ C:\WINDOWS\system32\vhsadlag.dll
2008-07-28 09:38 . 2008-07-28 09:38 83,456 --a------ C:\WINDOWS\system32\jekuipqk.dll
2008-07-28 09:36 . 2008-07-28 09:36 91,648 --a------ C:\WINDOWS\system32\kybhobuy.dll
2008-07-26 13:59 . 2008-07-26 13:59 105,472 --a------ C:\WINDOWS\system32\mxdocyjr.dll
2008-07-26 13:59 . 2008-07-26 13:59 105,472 --a------ C:\WINDOWS\system32\lqbdai.dll
2008-07-26 09:33 . 2008-07-26 09:33 83,456 --------- C:\WINDOWS\system32\kfhnladq.dll
2008-07-25 13:54 . 2008-07-25 13:54 105,472 --a------ C:\WINDOWS\system32\nygmiy.dll
2008-07-25 13:54 . 2008-07-25 13:54 105,472 --a------ C:\WINDOWS\system32\fvspijte.dll
2008-07-25 13:52 . 2008-07-25 13:52 91,648 --a------ C:\WINDOWS\system32\wpvqvyfu.dll
2008-07-25 12:32 . 2008-07-25 12:32 <REP> d-------- C:\Program Files\Alwil Software
2008-07-25 12:32 . 2003-03-18 17:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-07-25 09:38 . 2008-07-28 11:55 383 --a------ C:\WINDOWS\wininit.ini
2008-07-24 07:51 . 2008-07-24 07:51 <REP> dr------- C:\Documents and Settings\LocalService\Mes documents
2008-07-20 10:38 . 2008-07-20 10:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\4 Curb Loud Idol
2008-07-20 10:37 . 2008-07-20 10:37 <REP> d-------- C:\Program Files\BitRoll
2008-07-20 10:37 . 2008-07-20 10:38 <REP> d-------- C:\Program Files\Atom Dent Logo
2008-07-20 10:37 . 2008-07-20 10:38 <REP> d-------- C:\Documents and Settings\MIKE\Application Data\Atom Dent Logo

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
1999-04-06 11:27 99,840 ----a-w C:\Program Files\Fichiers communs\IRAABOUT.DLL
1998-12-09 01:53 70,144 ----a-w C:\Program Files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 01:53 48,640 ----a-w C:\Program Files\Fichiers communs\IRALPTTR.DLL
1998-12-09 01:53 31,744 ----a-w C:\Program Files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 01:53 186,368 ----a-w C:\Program Files\Fichiers communs\IRAREG.DLL
1998-12-09 01:53 17,920 ----a-w C:\Program Files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 18:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 11:24 1694208]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-06-23 10:34 155648]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-06-23 10:34 114688]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-06-27 17:01 155648]
"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2002-07-25 04:49 151552]
"BM251a25c3"="C:\WINDOWS\system32\ecbfagcr.dll" [2008-07-29 11:06 91648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 18:09 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HOTSYNCSHORTCUTNAME.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HOTSYNCSHORTCUTNAME.lnk
backup=C:\WINDOWS\pss\HOTSYNCSHORTCUTNAME.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=C:\WINDOWS\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Logiciel Kodak EasyShare.lnk
backup=C:\WINDOWS\pss\Logiciel Kodak EasyShare.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Photo Express SE Calendar Checker.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Photo Express SE Calendar Checker.lnk
backup=C:\WINDOWS\pss\Photo Express SE Calendar Checker.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Supervision de Photo Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Supervision de Photo Loader.lnk
backup=C:\WINDOWS\pss\Supervision de Photo Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Symantec Fax Starter Edition Port.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Symantec Fax Starter Edition Port.lnk
backup=C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^MIKE^Menu Démarrer^Programmes^Démarrage^Outil de détection de support Picture Motion Browser.lnk]
path=C:\Documents and Settings\MIKE\Menu Démarrer\Programmes\Démarrage\Outil de détection de support Picture Motion Browser.lnk
backup=C:\WINDOWS\pss\Outil de détection de support Picture Motion Browser.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\-FreedomNeedsReboot]
--a------ 2007-08-27 16:57 13552 C:\Program Files\Bell\Security Manager\zkrunoncer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]
--------- 2002-02-04 22:32 53248 C:\Program Files\REGSHAVE\REGSHAVE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSA.exe]
--a------ 2007-03-27 10:33 2061816 C:\Program Files\Bell\Sympatico Security Advisor\SSA.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-08-06 16:46 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sympatico Security Manager]
--a------ 2007-08-27 16:57 310000 C:\Program Files\Bell\Security Manager\RPS.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RP_FWS"=2 (0x2)
"RPSUpdaterR"=3 (0x3)
"ITMRTSVC"=2 (0x2)
"gusvc"=3 (0x3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"OnlineCdrom"=C:\DOCUME~1\MIKE\APPLIC~1\ATOMDE~1\32third.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BM251a25c3"=Rundll32.exe "C:\WINDOWS\system32\wpvqvyfu.dll",s

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\MSMSGS.EXE"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 10:35]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 10:37]
R2 NMSAccessU;NMSAccessU;C:\Program Files\CDBurnerXP\NMSAccessU.exe [2007-10-12 08:34]
S3 Radialpoint Security Services;Sympatico Security Manager;C:\WINDOWS\system32\dllhost.exe [2004-08-19 18:09]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-07-29 C:\WINDOWS\Tasks\AA8F772494F4E9BC.job
- c:\docume~1\mike\applic~1\atomde~1\Delete copy bird.exe []
.
- - - - ORPHANS REMOVED - - - -

BHO-{13E08C45-3744-42D4-A16C-6FA2B9C854FF} - (no file)
BHO-{5DA0D1F9-74F8-43ED-93C6-82D51B9DF01C} - (no file)
BHO-{79427E3F-CC68-4D5E-B684-26F4F6522CCD} - (no file)
BHO-{79b1a504-45ce-435a-9b77-0c139e3fea84} - (no file)
BHO-{7D8299B9-268D-42E9-9D08-54358E6982D4} - C:\WINDOWS\system32\xxyvvUOg.dll
BHO-{B237C305-472A-45EA-90CB-0C02689EBFA4} - C:\WINDOWS\system32\qoMfcApQ.dll
BHO-{D5792AA9-D373-4039-8670-2CDAB6A71F15} - (no file)
BHO-{FBE01917-5AB9-4EF2-88BE-28CC62711CD3} - (no file)
ShellExecuteHooks-{B237C305-472A-45EA-90CB-0C02689EBFA4} - C:\WINDOWS\system32\qoMfcApQ.dll
ShellExecuteHooks-{7D8299B9-268D-42E9-9D08-54358E6982D4} - C:\WINDOWS\system32\xxyvvUOg.dll
MSConfigStartUp-2629165f - C:\WINDOWS\system32\ldqhhfxb.dll
MSConfigStartUp-52425010159553311024490776840392 - C:\Program Files\Antivirus 2009\av2009[1].exe
MSConfigStartUp-HotbarOE - C:\Program Files\Hotbar\bin\10.0.412.0\OEAddOn.exe
MSConfigStartUp-HotbarSA - C:\Program Files\Hotbar\bin\10.0.412.0\HotbarSA.exe
MSConfigStartUp-ieupdate - C:\WINDOWS\system32\ieupdates.exe
MSConfigStartUp-LDM - \Program\BackWeb-8876480.exe
MSConfigStartUp-MMTray - C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://sympatico.msn.ca/?lang=en-CA
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-29 21:52:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ecbfagcr.dll
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\PROGRAM FILES\FICHIERS COMMUNS\AUTHENTIUM\ANTIVIRUS\DVPAPI.EXE
C:\PROGRAM FILES\RAXCO\PERFECTDISK\PDAGENT.EXE
C:\WINDOWS\SYSTEM32\SCSIACCESS.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\RAXCO\PERFECTDISK\PDENGINE.EXE
C:\PROGRAM FILES\LAUNCH MANAGER\CPLBCL53.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAM FILES\APOINT2K\APNTEX.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-29 21:54:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-30 01:54:14

Pre-Run: 8,319,483,904 octets libres
Post-Run: 9,281,208,320 octets libres

209
0
Réponse 2 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
T'es aussi infecté par Lop, t'as pas des pubs CID ?

---> Télécharge Lop S&D sur ton Bureau
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
---> Double-clique dessus pour lancer l'installation
---> Puis double-clique sur le raccourci Lop S&D présent sur ton Bureau
---> Séléctionne la langue souhaitée, puis choisis l'option 1 (Recherche)
---> Patiente jusqu'à la fin du scan
---> Poste le rapport généré (C:\lopR.txt)

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)

Si tu as un problème pour utiliser Lop S&D, regarde dans le tutorial :
http://bibou0007.com/outils-specifiques-f78/tutorial-lop-sd-t956.htm#11431
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Done! et voici le rapport :


--------------------\\ Lop S&D 4.2.2-4 XP/Vista

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : MIKE ] [ "C:\Lop SD" ] [ Selection : 1 ]
[ 2008-07-29 | 22:21:30,84 ] [ PC : MICHEL ]
[ MAJ : 25-07-2008 | 17:45 ]

--------------------\\ Listing des dossiers dans APPLIC~1

[2003-06-23|17:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[2003-06-23|18:10] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\DEFAUL~1\APPLIC~1\InterTrust
[2003-06-23|17:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[2008-07-20|10:38] C:\DOCUME~1\ALLUSE~1\APPLIC~1\4 Curb Loud Idol
[2008-05-12|12:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[2006-01-09|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg7
[2008-02-26|10:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bell
[2005-01-25|18:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
[2003-06-23|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[2003-06-23|17:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[2007-04-18|17:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[2007-07-19|14:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HotSync
[2004-02-21|07:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
[2003-06-23|17:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[2003-12-09|14:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[2004-02-18|14:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[2008-02-26|10:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Raxco
[2004-05-13|23:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[2003-11-24|18:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[2006-03-18|11:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[2003-06-23|17:50] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[2005-04-16|14:47] C:\DOCUME~1\NETWOR~1\APPLIC~1\Symantec

[2006-01-09|19:13] C:\DOCUME~1\LOCALS~1\APPLIC~1\AVG7
[2003-06-23|17:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[2007-03-22|21:21] C:\DOCUME~1\PIERRE\APPLIC~1\AVG7
[2008-04-01|08:50] C:\DOCUME~1\PIERRE\APPLIC~1\Bell
[2003-06-23|17:50] C:\DOCUME~1\PIERRE\APPLIC~1\desktop.ini
[2007-08-21|12:42] C:\DOCUME~1\PIERRE\APPLIC~1\Google
[2007-08-21|12:42] C:\DOCUME~1\PIERRE\APPLIC~1\HotSync
[2003-06-23|18:10] C:\DOCUME~1\PIERRE\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\PIERRE\APPLIC~1\InterTrust
[2007-08-21|12:43] C:\DOCUME~1\PIERRE\APPLIC~1\Macromedia
[2003-06-23|17:50] C:\DOCUME~1\PIERRE\APPLIC~1\Microsoft
[2005-08-13|01:02] C:\DOCUME~1\PIERRE\APPLIC~1\MSN6
[2005-08-13|02:09] C:\DOCUME~1\PIERRE\APPLIC~1\Sun

[2003-06-23|17:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
[2003-06-23|18:10] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\ADMINI~1\APPLIC~1\InterTrust
[2003-06-23|17:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[2007-03-22|23:04] C:\DOCUME~1\MIKE\APPLIC~1\Adobe
[2007-03-26|10:58] C:\DOCUME~1\MIKE\APPLIC~1\AdobeUM
[2007-07-19|15:02] C:\DOCUME~1\MIKE\APPLIC~1\Arcsoft
[2008-07-20|10:38] C:\DOCUME~1\MIKE\APPLIC~1\Atom Dent Logo
[2008-02-29|11:01] C:\DOCUME~1\MIKE\APPLIC~1\Autodesk
[2007-03-22|22:48] C:\DOCUME~1\MIKE\APPLIC~1\AVG7
[2008-02-26|10:17] C:\DOCUME~1\MIKE\APPLIC~1\Bell
[2008-01-22|08:21] C:\DOCUME~1\MIKE\APPLIC~1\Blackberry Desktop
[2007-08-10|12:24] C:\DOCUME~1\MIKE\APPLIC~1\Brother
[2007-08-13|14:18] C:\DOCUME~1\MIKE\APPLIC~1\Costco Photo Organizer
[2007-08-13|14:16] C:\DOCUME~1\MIKE\APPLIC~1\Costco Photo Viewer CA-FR
[2003-06-23|17:50] C:\DOCUME~1\MIKE\APPLIC~1\desktop.ini
[2008-04-04|10:21] C:\DOCUME~1\MIKE\APPLIC~1\Downloaded Installations
[2007-07-19|11:27] C:\DOCUME~1\MIKE\APPLIC~1\FUJIFILM
[2007-04-18|20:14] C:\DOCUME~1\MIKE\APPLIC~1\Google
[2007-07-19|14:22] C:\DOCUME~1\MIKE\APPLIC~1\HotSync
[2003-06-23|18:10] C:\DOCUME~1\MIKE\APPLIC~1\Identities
[2008-02-26|10:18] C:\DOCUME~1\MIKE\APPLIC~1\InstallShield
[2003-06-23|18:26] C:\DOCUME~1\MIKE\APPLIC~1\InterTrust
[2007-07-19|14:28] C:\DOCUME~1\MIKE\APPLIC~1\Leadertech
[2007-03-23|13:33] C:\DOCUME~1\MIKE\APPLIC~1\Macromedia
[2003-06-23|17:50] C:\DOCUME~1\MIKE\APPLIC~1\Microsoft
[2007-05-30|16:48] C:\DOCUME~1\MIKE\APPLIC~1\Mozilla
[2007-03-28|15:24] C:\DOCUME~1\MIKE\APPLIC~1\MSN6
[2008-01-17|11:32] C:\DOCUME~1\MIKE\APPLIC~1\OfficeUpdate12
[2008-01-22|16:04] C:\DOCUME~1\MIKE\APPLIC~1\Research In Motion
[2007-07-16|19:47] C:\DOCUME~1\MIKE\APPLIC~1\Sony Corporation
[2007-03-23|12:49] C:\DOCUME~1\MIKE\APPLIC~1\Sun
[2007-09-26|11:41] C:\DOCUME~1\MIKE\APPLIC~1\U3
[2007-04-16|12:45] C:\DOCUME~1\MIKE\APPLIC~1\Watchtower

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[2008-07-29 22:00][--ah-----] C:\WINDOWS\tasks\AA8F772494F4E9BC.job
[2008-07-29 09:00][--a------] C:\WINDOWS\tasks\SyncBack Backup Michel.job
[2008-07-29 21:51][--ah-----] C:\WINDOWS\tasks\SA.DAT
[2003-04-24 12:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

( AA8F772494F4E9BC.job )=( c:\docume~1\mike\applic~1\atomde~1\Deletecopybird.exe )

--------------------\\ Listing des dossiers dans C:\Program Files

[2007-03-22|23:34] C:\Program Files\2BrightSparks
[2004-03-13|15:02] C:\Program Files\ABBYY FineReader 4.0 Sprint
[2003-06-23|18:23] C:\Program Files\Acer Inc
[2003-06-23|18:26] C:\Program Files\Adobe
[2008-07-25|12:32] C:\Program Files\Alwil Software
[2003-06-23|18:22] C:\Program Files\Apoint2K
[2008-07-20|10:38] C:\Program Files\Atom Dent Logo
[2008-04-04|10:21] C:\Program Files\Autodesk
[2008-02-26|10:03] C:\Program Files\Bell
[2008-07-20|10:37] C:\Program Files\BitRoll
[2008-02-26|10:20] C:\Program Files\CA
[2005-10-24|16:19] C:\Program Files\CaseWare
[2004-02-18|14:48] C:\Program Files\CASIO
[2007-11-19|10:03] C:\Program Files\CDBurnerXP
[2003-12-18|10:11] C:\Program Files\Common Files
[2003-06-23|17:57] C:\Program Files\ComPlus Applications
[2007-08-13|14:18] C:\Program Files\Costco
[2003-06-23|18:30] C:\Program Files\CyberLink
[2004-02-18|14:49] C:\Program Files\directx
[2003-06-23|17:51] C:\Program Files\Fichiers communs
[2007-07-19|11:21] C:\Program Files\FinePixViewer
[2004-05-18|13:48] C:\Program Files\Frasers 2004
[2007-04-18|17:41] C:\Program Files\Google
[2006-01-09|19:13] C:\Program Files\Grisoft
[2004-05-13|23:35] C:\Program Files\HighMAT CD Writing Wizard
[2003-06-23|18:06] C:\Program Files\InstallShield Installation Information
[2003-06-23|18:07] C:\Program Files\Intel
[2004-07-20|18:42] C:\Program Files\InterActual
[2003-06-23|17:58] C:\Program Files\Internet Explorer
[2004-08-05|08:34] C:\Program Files\Java
[2004-02-18|14:34] C:\Program Files\KODAK
[2003-06-23|18:24] C:\Program Files\Launch Manager
[2003-06-25|10:15] C:\Program Files\Ligos
[2005-02-03|18:34] C:\Program Files\LiveUpdate
[2004-03-26|10:03] C:\Program Files\Logitech
[2004-10-20|12:14] C:\Program Files\MDT6
[2003-06-23|17:56] C:\Program Files\Messenger
[2003-06-23|18:01] C:\Program Files\microsoft frontpage
[2003-11-24|18:27] C:\Program Files\Microsoft Office
[2003-11-24|18:31] C:\Program Files\Microsoft Visual Studio
[2005-02-03|18:32] C:\Program Files\mobile PhoneTools
[2003-06-23|17:58] C:\Program Files\Movie Maker
[2007-05-30|16:47] C:\Program Files\Mozilla Firefox
[2007-11-27|06:59] C:\Program Files\MSECache
[2003-06-23|17:56] C:\Program Files\MSN
[2003-06-23|17:56] C:\Program Files\MSN Gaming Zone
[2007-03-22|20:37] C:\Program Files\MSXML 4.0
[2004-03-26|10:03] C:\Program Files\MUSICMATCH
[2003-06-23|17:58] C:\Program Files\NetMeeting
[2004-03-13|15:05] C:\Program Files\NewSoft
[2003-06-23|18:27] C:\Program Files\NewTech Infosystems
[2003-06-23|17:58] C:\Program Files\Outlook Express
[2007-07-19|14:24] C:\Program Files\Palm
[2004-02-20|10:06] C:\Program Files\Photo Future
[2007-07-19|11:22] C:\Program Files\PIXELA
[2005-03-16|10:24] C:\Program Files\Quick Flash Player
[2004-02-18|14:36] C:\Program Files\QuickTime
[2008-02-26|10:20] C:\Program Files\Raxco
[2007-07-19|11:20] C:\Program Files\REGSHAVE
[2008-01-22|08:20] C:\Program Files\Research In Motion
[2004-03-13|15:01] C:\Program Files\ScanButton 2.1
[2003-06-23|17:56] C:\Program Files\Services en ligne
[2007-07-16|19:25] C:\Program Files\Sony
[2004-05-13|23:31] C:\Program Files\Spybot - Search & Destroy
[2003-06-23|18:33] C:\Program Files\TravelMate 290
[2008-07-29|10:20] C:\Program Files\Trend Micro
[2004-03-13|15:09] C:\Program Files\Ulead Systems
[2003-06-23|18:10] C:\Program Files\Uninstall Information
[2007-04-16|12:28] C:\Program Files\Watchtower
[2004-10-20|12:19] C:\Program Files\WexTech
[2004-05-13|23:48] C:\Program Files\Windows Journal Viewer
[2007-04-30|15:16] C:\Program Files\Windows Media Connect 2
[2003-06-23|17:56] C:\Program Files\Windows Media Player
[2003-06-23|17:56] C:\Program Files\Windows NT
[2003-06-23|17:56] C:\Program Files\WindowsUpdate
[2003-06-23|18:01] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[2003-06-23|18:26] C:\Program Files\Fichiers communs\Adobe
[2008-02-26|10:20] C:\Program Files\Fichiers communs\Authentium
[2004-10-20|12:14] C:\Program Files\Fichiers communs\Autodesk Shared
[2003-11-24|18:31] C:\Program Files\Fichiers communs\Designer
[2007-08-13|14:18] C:\Program Files\Fichiers communs\HP
[2003-06-23|18:06] C:\Program Files\Fichiers communs\InstallShield
[1999-04-06|07:27] C:\Program Files\Fichiers communs\IRAABOUT.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRALPTTR.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAMDMTR.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAREG.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRASRIAL.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAWEBTR.DLL
[2004-08-05|08:33] C:\Program Files\Fichiers communs\Java
[2004-02-21|07:14] C:\Program Files\Fichiers communs\Kodak
[2004-10-20|12:19] C:\Program Files\Fichiers communs\LHSPF
[2003-06-23|17:51] C:\Program Files\Fichiers communs\Microsoft Shared
[2003-06-23|17:58] C:\Program Files\Fichiers communs\MSSoap
[2003-06-23|17:51] C:\Program Files\Fichiers communs\ODBC
[2008-01-22|08:21] C:\Program Files\Fichiers communs\Research In Motion
[2008-02-26|10:20] C:\Program Files\Fichiers communs\Scanner
[2003-06-23|17:58] C:\Program Files\Fichiers communs\Services
[2003-06-23|17:51] C:\Program Files\Fichiers communs\SpeechEngines
[2004-05-13|23:06] C:\Program Files\Fichiers communs\Symantec Shared
[2003-06-23|17:58] C:\Program Files\Fichiers communs\System
[2004-10-20|12:15] C:\Program Files\Fichiers communs\Wextech Shared

--------------------\\ Process

( 36 Processus )

... OK !

--------------------\\ Recherche avec S_Lop

C:\DOCUME~1\MIKE\APPLIC~1\ATOMDE~1

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\MIKE\APPLIC~1\Atom Dent Logo
C:\Program Files\Atom Dent Logo
C:\DOCUME~1\ALLUSE~1\APPLIC~1\4 Curb Loud Idol
C:\DOCUME~1\MIKE\APPLIC~1\atomde~1
C:\Program Files\atomde~1
C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll
C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\BitRoll.lnk
C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\HomePage.lnk
C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\Uninstall.lnk
C:\Program Files\BitRoll
C:\Program Files\BitRoll\state.dht
C:\Program Files\BitRoll\TorrentManager.dll
C:\Program Files\BitRoll\session.store
C:\Program Files\BitRoll\settings.ini
C:\Program Files\BitRoll\settings.stp
C:\Program Files\BitRoll\SkinCrafterDll.dll
C:\Program Files\BitRoll\Skins
C:\Program Files\BitRoll\uninstall.exe
C:\Program Files\BitRoll\BitRoll.url
C:\DOCUME~1\MIKE\Cookies\mike@ecnext.advertserve[1].txt
C:\DOCUME~1\MIKE\Cookies\mike@advertising[2].txt
C:\DOCUME~1\MIKE\Cookies\mike@32vegas[2].txt
C:\DOCUME~1\MIKE\Cookies\mike@banner.32vegas[2].txt
C:\DOCUME~1\MIKE\Cookies\mike@32vegas[3].txt
C:\DOCUME~1\MIKE\Cookies\mike@ads.lasvegas[1].txt
C:\DOCUME~1\MIKE\Cookies\mike@www9.lasvegas[1].txt
C:\DOCUME~1\MIKE\Cookies\mike@lasvegas[2].txt
C:\WINDOWS\Tasks\AA8F772494F4E9BC.job

--------------------\\ Verification du Registre

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\corn boob inside]
"DisplayName"="CiD Help"
"UninstallString"="C:\\DOCUME~1\\MIKE\\APPLIC~1\\ATOMDE~1\\32third.exe -uninstall"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-29 22:22:38
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !

[F:861][D:0]-> C:\DOCUME~1\MIKE\Cookies
[F:2][D:0]-> C:\DOCUME~1\MIKE\LOCALS~1\TEMPOR~1\content.IE5
[F:2][D:0]-> C:\Recycled

--------------------\\ Fin du rapport a 22:22:59,94
0
Réponse 3 / 16
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut à tous,

Pour aider:
Il est prématuré de commencer une désinfection de type vundo avec combofix.
Combofix peut endommager votre système c'est une prise de risque inutile pour le moment.
MalwareBytes AntiMalware et SuperAntispyware devrait être suffisant.
Votre machine ne semble pas trop infecté.
Et un scan en ligne Bitdefender pour terminer le tout devrait suffire.

Et pour les autres pub, une mise à jour vers IE7 et surtout naviguer avec Firefox pourrait réduire un peu ces fenêtres.
Ainsi que votre version Java et un bon parefeu du genre Online Armor ou Comodo.

A+

Denis
0
Réponse 4 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
"Il est prématuré de commencer une désinfection de type vundo avec combofix."
---> Pas du tout. Déjà testé ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
---> Relance Lop S&D
---> Choisis cette fois-ci l'option 2 (Suppression)
---> Ne ferme pas la fenêtre lors de la suppression !
---> Poste le rapport généré (C:\lopR.txt)

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet Fichier, Nouvelle tâche, tape explorer.exe et valide)
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Et voici le rapport.
Encore merci pour ton temps, je suppose qu'il se fait tard chez toi :


--------------------\\ Lop S&D 4.2.2-4 XP/Vista

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : MIKE ] [ "C:\Lop SD" ] [ Selection : 2 ]
[ 2008-07-29 | 22:26:09,09 ] [ PC : MICHEL ]
[ MAJ : 25-07-2008 | 17:45 ]


\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION /////////////////////////////

Supprime! - C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\BitRoll.lnk
Supprime! - C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\HomePage.lnk
Supprime! - C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll\Uninstall.lnk
Supprime! - C:\Program Files\BitRoll\state.dht
Supprime! - C:\Program Files\BitRoll\TorrentManager.dll
Supprime! - C:\Program Files\BitRoll\session.store
Supprime! - C:\Program Files\BitRoll\settings.ini
Supprime! - C:\Program Files\BitRoll\settings.stp
Supprime! - C:\Program Files\BitRoll\SkinCrafterDll.dll
Supprime! - C:\Program Files\BitRoll\Skins
Supprime! - C:\Program Files\BitRoll\uninstall.exe
Supprime! - C:\Program Files\BitRoll\BitRoll.url
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@ecnext.advertserve[1].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@advertising[2].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@32vegas[2].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@banner.32vegas[2].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@32vegas[3].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@ads.lasvegas[1].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@www9.lasvegas[1].txt
Supprime! - C:\DOCUME~1\MIKE\Cookies\mike@lasvegas[2].txt
Supprime! - C:\WINDOWS\Tasks\AA8F772494F4E9BC.job
Supprime! - C:\DOCUME~1\MIKE\APPLIC~1\Atom Dent Logo
Supprime! - C:\Program Files\Atom Dent Logo
Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\4 Curb Loud Idol
Supprime! - C:\DOCUME~1\MIKE\MENUDÉ~1\PROGRA~1\BitRoll
Supprime! - C:\Program Files\BitRoll

//////////////////////////////////////-\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


--------------------\\ Listing des dossiers dans APPLIC~1

[2003-06-23|17:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[2003-06-23|18:10] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\DEFAUL~1\APPLIC~1\InterTrust
[2003-06-23|17:50] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[2008-05-12|12:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[2006-01-09|19:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg7
[2008-02-26|10:03] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Bell
[2005-01-25|18:19] C:\DOCUME~1\ALLUSE~1\APPLIC~1\BVRP Software
[2003-06-23|18:30] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[2003-06-23|17:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[2007-04-18|17:41] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[2007-07-19|14:24] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HotSync
[2004-02-21|07:11] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak
[2003-06-23|17:50] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[2003-12-09|14:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\MSN6
[2004-02-18|14:36] C:\DOCUME~1\ALLUSE~1\APPLIC~1\QuickTime
[2008-02-26|10:20] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Raxco
[2004-05-13|23:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy
[2003-11-24|18:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Symantec
[2006-03-18|11:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[2003-06-23|17:50] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
[2005-04-16|14:47] C:\DOCUME~1\NETWOR~1\APPLIC~1\Symantec

[2006-01-09|19:13] C:\DOCUME~1\LOCALS~1\APPLIC~1\AVG7
[2003-06-23|17:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[2007-03-22|21:21] C:\DOCUME~1\PIERRE\APPLIC~1\AVG7
[2008-04-01|08:50] C:\DOCUME~1\PIERRE\APPLIC~1\Bell
[2003-06-23|17:50] C:\DOCUME~1\PIERRE\APPLIC~1\desktop.ini
[2007-08-21|12:42] C:\DOCUME~1\PIERRE\APPLIC~1\Google
[2007-08-21|12:42] C:\DOCUME~1\PIERRE\APPLIC~1\HotSync
[2003-06-23|18:10] C:\DOCUME~1\PIERRE\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\PIERRE\APPLIC~1\InterTrust
[2007-08-21|12:43] C:\DOCUME~1\PIERRE\APPLIC~1\Macromedia
[2003-06-23|17:50] C:\DOCUME~1\PIERRE\APPLIC~1\Microsoft
[2005-08-13|01:02] C:\DOCUME~1\PIERRE\APPLIC~1\MSN6
[2005-08-13|02:09] C:\DOCUME~1\PIERRE\APPLIC~1\Sun

[2003-06-23|17:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\desktop.ini
[2003-06-23|18:10] C:\DOCUME~1\ADMINI~1\APPLIC~1\Identities
[2003-06-23|18:26] C:\DOCUME~1\ADMINI~1\APPLIC~1\InterTrust
[2003-06-23|17:50] C:\DOCUME~1\ADMINI~1\APPLIC~1\Microsoft

[2007-03-22|23:04] C:\DOCUME~1\MIKE\APPLIC~1\Adobe
[2007-03-26|10:58] C:\DOCUME~1\MIKE\APPLIC~1\AdobeUM
[2007-07-19|15:02] C:\DOCUME~1\MIKE\APPLIC~1\Arcsoft
[2008-02-29|11:01] C:\DOCUME~1\MIKE\APPLIC~1\Autodesk
[2007-03-22|22:48] C:\DOCUME~1\MIKE\APPLIC~1\AVG7
[2008-02-26|10:17] C:\DOCUME~1\MIKE\APPLIC~1\Bell
[2008-01-22|08:21] C:\DOCUME~1\MIKE\APPLIC~1\Blackberry Desktop
[2007-08-10|12:24] C:\DOCUME~1\MIKE\APPLIC~1\Brother
[2007-08-13|14:18] C:\DOCUME~1\MIKE\APPLIC~1\Costco Photo Organizer
[2007-08-13|14:16] C:\DOCUME~1\MIKE\APPLIC~1\Costco Photo Viewer CA-FR
[2003-06-23|17:50] C:\DOCUME~1\MIKE\APPLIC~1\desktop.ini
[2008-04-04|10:21] C:\DOCUME~1\MIKE\APPLIC~1\Downloaded Installations
[2007-07-19|11:27] C:\DOCUME~1\MIKE\APPLIC~1\FUJIFILM
[2007-04-18|20:14] C:\DOCUME~1\MIKE\APPLIC~1\Google
[2007-07-19|14:22] C:\DOCUME~1\MIKE\APPLIC~1\HotSync
[2003-06-23|18:10] C:\DOCUME~1\MIKE\APPLIC~1\Identities
[2008-02-26|10:18] C:\DOCUME~1\MIKE\APPLIC~1\InstallShield
[2003-06-23|18:26] C:\DOCUME~1\MIKE\APPLIC~1\InterTrust
[2007-07-19|14:28] C:\DOCUME~1\MIKE\APPLIC~1\Leadertech
[2007-03-23|13:33] C:\DOCUME~1\MIKE\APPLIC~1\Macromedia
[2003-06-23|17:50] C:\DOCUME~1\MIKE\APPLIC~1\Microsoft
[2007-05-30|16:48] C:\DOCUME~1\MIKE\APPLIC~1\Mozilla
[2007-03-28|15:24] C:\DOCUME~1\MIKE\APPLIC~1\MSN6
[2008-01-17|11:32] C:\DOCUME~1\MIKE\APPLIC~1\OfficeUpdate12
[2008-01-22|16:04] C:\DOCUME~1\MIKE\APPLIC~1\Research In Motion
[2007-07-16|19:47] C:\DOCUME~1\MIKE\APPLIC~1\Sony Corporation
[2007-03-23|12:49] C:\DOCUME~1\MIKE\APPLIC~1\Sun
[2007-09-26|11:41] C:\DOCUME~1\MIKE\APPLIC~1\U3
[2007-04-16|12:45] C:\DOCUME~1\MIKE\APPLIC~1\Watchtower

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[2008-07-29 09:00][--a------] C:\WINDOWS\tasks\SyncBack Backup Michel.job
[2008-07-29 21:51][--ah-----] C:\WINDOWS\tasks\SA.DAT
[2003-04-24 12:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[2007-03-22|23:34] C:\Program Files\2BrightSparks
[2004-03-13|15:02] C:\Program Files\ABBYY FineReader 4.0 Sprint
[2003-06-23|18:23] C:\Program Files\Acer Inc
[2003-06-23|18:26] C:\Program Files\Adobe
[2008-07-25|12:32] C:\Program Files\Alwil Software
[2003-06-23|18:22] C:\Program Files\Apoint2K
[2008-04-04|10:21] C:\Program Files\Autodesk
[2008-02-26|10:03] C:\Program Files\Bell
[2008-02-26|10:20] C:\Program Files\CA
[2005-10-24|16:19] C:\Program Files\CaseWare
[2004-02-18|14:48] C:\Program Files\CASIO
[2007-11-19|10:03] C:\Program Files\CDBurnerXP
[2003-12-18|10:11] C:\Program Files\Common Files
[2003-06-23|17:57] C:\Program Files\ComPlus Applications
[2007-08-13|14:18] C:\Program Files\Costco
[2003-06-23|18:30] C:\Program Files\CyberLink
[2004-02-18|14:49] C:\Program Files\directx
[2003-06-23|17:51] C:\Program Files\Fichiers communs
[2007-07-19|11:21] C:\Program Files\FinePixViewer
[2004-05-18|13:48] C:\Program Files\Frasers 2004
[2007-04-18|17:41] C:\Program Files\Google
[2006-01-09|19:13] C:\Program Files\Grisoft
[2004-05-13|23:35] C:\Program Files\HighMAT CD Writing Wizard
[2003-06-23|18:06] C:\Program Files\InstallShield Installation Information
[2003-06-23|18:07] C:\Program Files\Intel
[2004-07-20|18:42] C:\Program Files\InterActual
[2003-06-23|17:58] C:\Program Files\Internet Explorer
[2004-08-05|08:34] C:\Program Files\Java
[2004-02-18|14:34] C:\Program Files\KODAK
[2003-06-23|18:24] C:\Program Files\Launch Manager
[2003-06-25|10:15] C:\Program Files\Ligos
[2005-02-03|18:34] C:\Program Files\LiveUpdate
[2004-03-26|10:03] C:\Program Files\Logitech
[2004-10-20|12:14] C:\Program Files\MDT6
[2003-06-23|17:56] C:\Program Files\Messenger
[2003-06-23|18:01] C:\Program Files\microsoft frontpage
[2003-11-24|18:27] C:\Program Files\Microsoft Office
[2003-11-24|18:31] C:\Program Files\Microsoft Visual Studio
[2005-02-03|18:32] C:\Program Files\mobile PhoneTools
[2003-06-23|17:58] C:\Program Files\Movie Maker
[2007-05-30|16:47] C:\Program Files\Mozilla Firefox
[2007-11-27|06:59] C:\Program Files\MSECache
[2003-06-23|17:56] C:\Program Files\MSN
[2003-06-23|17:56] C:\Program Files\MSN Gaming Zone
[2007-03-22|20:37] C:\Program Files\MSXML 4.0
[2004-03-26|10:03] C:\Program Files\MUSICMATCH
[2003-06-23|17:58] C:\Program Files\NetMeeting
[2004-03-13|15:05] C:\Program Files\NewSoft
[2003-06-23|18:27] C:\Program Files\NewTech Infosystems
[2003-06-23|17:58] C:\Program Files\Outlook Express
[2007-07-19|14:24] C:\Program Files\Palm
[2004-02-20|10:06] C:\Program Files\Photo Future
[2007-07-19|11:22] C:\Program Files\PIXELA
[2005-03-16|10:24] C:\Program Files\Quick Flash Player
[2004-02-18|14:36] C:\Program Files\QuickTime
[2008-02-26|10:20] C:\Program Files\Raxco
[2007-07-19|11:20] C:\Program Files\REGSHAVE
[2008-01-22|08:20] C:\Program Files\Research In Motion
[2004-03-13|15:01] C:\Program Files\ScanButton 2.1
[2003-06-23|17:56] C:\Program Files\Services en ligne
[2007-07-16|19:25] C:\Program Files\Sony
[2004-05-13|23:31] C:\Program Files\Spybot - Search & Destroy
[2003-06-23|18:33] C:\Program Files\TravelMate 290
[2008-07-29|10:20] C:\Program Files\Trend Micro
[2004-03-13|15:09] C:\Program Files\Ulead Systems
[2003-06-23|18:10] C:\Program Files\Uninstall Information
[2007-04-16|12:28] C:\Program Files\Watchtower
[2004-10-20|12:19] C:\Program Files\WexTech
[2004-05-13|23:48] C:\Program Files\Windows Journal Viewer
[2007-04-30|15:16] C:\Program Files\Windows Media Connect 2
[2003-06-23|17:56] C:\Program Files\Windows Media Player
[2003-06-23|17:56] C:\Program Files\Windows NT
[2003-06-23|17:56] C:\Program Files\WindowsUpdate
[2003-06-23|18:01] C:\Program Files\xerox

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[2003-06-23|18:26] C:\Program Files\Fichiers communs\Adobe
[2008-02-26|10:20] C:\Program Files\Fichiers communs\Authentium
[2004-10-20|12:14] C:\Program Files\Fichiers communs\Autodesk Shared
[2003-11-24|18:31] C:\Program Files\Fichiers communs\Designer
[2007-08-13|14:18] C:\Program Files\Fichiers communs\HP
[2003-06-23|18:06] C:\Program Files\Fichiers communs\InstallShield
[1999-04-06|07:27] C:\Program Files\Fichiers communs\IRAABOUT.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRALPTTR.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAMDMTR.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAREG.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRASRIAL.DLL
[1998-12-08|21:53] C:\Program Files\Fichiers communs\IRAWEBTR.DLL
[2004-08-05|08:33] C:\Program Files\Fichiers communs\Java
[2004-02-21|07:14] C:\Program Files\Fichiers communs\Kodak
[2004-10-20|12:19] C:\Program Files\Fichiers communs\LHSPF
[2003-06-23|17:51] C:\Program Files\Fichiers communs\Microsoft Shared
[2003-06-23|17:58] C:\Program Files\Fichiers communs\MSSoap
[2003-06-23|17:51] C:\Program Files\Fichiers communs\ODBC
[2008-01-22|08:21] C:\Program Files\Fichiers communs\Research In Motion
[2008-02-26|10:20] C:\Program Files\Fichiers communs\Scanner
[2003-06-23|17:58] C:\Program Files\Fichiers communs\Services
[2003-06-23|17:51] C:\Program Files\Fichiers communs\SpeechEngines
[2004-05-13|23:06] C:\Program Files\Fichiers communs\Symantec Shared
[2003-06-23|17:58] C:\Program Files\Fichiers communs\System
[2004-10-20|12:15] C:\Program Files\Fichiers communs\Wextech Shared

--------------------\\ Process

( 35 Processus )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE


--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-29 22:27:11
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections


Aucune autre infection trouvée !

[F:853][D:0]-> C:\DOCUME~1\MIKE\Cookies
[F:2][D:0]-> C:\DOCUME~1\MIKE\LOCALS~1\TEMPOR~1\content.IE5
[F:2][D:0]-> C:\Recycled

--------------------\\ Fin du rapport a 22:27:26,12
0
Réponse 6 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Pour l'heure qu'il est, c'est pas grave du tout.

---> Désinstalle Lop S&D

- Télécharge et installe MalwareByte's Anti-Malware :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

- Mets-le à jour

- Redémarre en mode sans échec (Recommandé) :
https://www.malekal.com/demarrer-windows-mode-sans-echec/

- Choisis ta session habituelle

- Fais un scan complet avec MalwareByte's Anti-Malware

- Supprime tout ce que le logiciel trouve, enregistre le rapport

- Redémarre en mode normal et poste le rapport ici

Tutorial :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Ouf après plus d»'une heure d'analyse voici le rapport. Vundo out yes! enfin j'espère

Malwarebytes' Anti-Malware 1.23
Version de la base de données: 1008
Windows 5.1.2600 Service Pack 2

23:55:00 2008-07-29
mbam-log-7-29-2008 (23-55-00).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 100274
Temps écoulé: 1 hour(s), 10 minute(s), 59 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{07aa283a-43d7-4cbe-a064-32a21112d94d} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm251a25c3 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ecbfagcr.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\BM251a25c3.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\BM251a25c3.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
0
Réponse 7 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
---> Relance MBAM, va dans Quarantaine et supprime tout

---> Télécharge clean.zip de Malekal :
http://www.malekal.com/download/clean.zip

---> Dézippe-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

---> Ouvre le dossier clean qui se trouve sur ton bureau, et double-clique sur clean.cmd

Une fenêtre noire va apparaître pendant un instant, laisse-la ouverte.

---> Choisis l'option 1 puis patiente

---> Poste le rapport obtenu (situé dans C:\rapport_clean.txt)

Ne passe pas à l'option 2 sans notre avis !
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
voici le rapport clean (c'est normal qu'il me demande d'envoyer un fichier zip au site malekal?)

2008-07-30 a 0:19:39,70

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
0
Réponse 8 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
(c'est normal qu'il me demande d'envoyer un fichier zip au site malekal?)
---> Oui mais Clean n'a rien trouvé donc ça sert à rien.

---> Télécharge OTMoveIt2 à partir du lien ci-dessous :
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.
Assure-toi que la case Unregister Dll's and Ocx's soit bien cochée.

---> Copie l'intégralité du texte ci-dessous et colle-le dans la fenêtre intitulée Paste Standard List of Files/Folders to be moved.

C:\WINDOWS\system32\wpvqvyfu.dll
C:\WINDOWS\system32\fvspijte.dll
C:\WINDOWS\system32\nygmiy.dll
C:\WINDOWS\system32\kfhnladq.dll
C:\WINDOWS\system32\lqbdai.dll
C:\WINDOWS\system32\mxdocyjr.dll
C:\WINDOWS\system32\kybhobuy.dll
C:\WINDOWS\system32\jekuipqk.dll
C:\WINDOWS\system32\vhsadlag.dll
C:\WINDOWS\system32\xjkcpjpg.dll
C:\WINDOWS\system32\osejqavu.dll
C:\WINDOWS\system32\ttahxd.dll
C:\WINDOWS\system32\ecbfagcr.dll
C:\WINDOWS\system32\xoscvido.dll
C:\WINDOWS\system32\hbxewplk.dll
C:\WINDOWS\system32\jwrncn.dll

---> Clique sur MoveIt! pour lancer la suppression.
Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

---> Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

---> Poste un nouveau rapport HijackThis
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Voici le rapport de OTM :

DllUnregisterServer procedure not found in C:\WINDOWS\system32\wpvqvyfu.dll
C:\WINDOWS\system32\wpvqvyfu.dll NOT unregistered.
C:\WINDOWS\system32\wpvqvyfu.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\fvspijte.dll
C:\WINDOWS\system32\fvspijte.dll NOT unregistered.
C:\WINDOWS\system32\fvspijte.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\nygmiy.dll
C:\WINDOWS\system32\nygmiy.dll NOT unregistered.
C:\WINDOWS\system32\nygmiy.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\kfhnladq.dll
C:\WINDOWS\system32\kfhnladq.dll NOT unregistered.
C:\WINDOWS\system32\kfhnladq.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\lqbdai.dll
C:\WINDOWS\system32\lqbdai.dll NOT unregistered.
C:\WINDOWS\system32\lqbdai.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\mxdocyjr.dll
C:\WINDOWS\system32\mxdocyjr.dll NOT unregistered.
C:\WINDOWS\system32\mxdocyjr.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\kybhobuy.dll
C:\WINDOWS\system32\kybhobuy.dll NOT unregistered.
C:\WINDOWS\system32\kybhobuy.dll moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\jekuipqk.dll
C:\WINDOWS\system32\jekuipqk.dll NOT unregistered.
C:\WINDOWS\system32\jekuipqk.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\vhsadlag.dll
C:\WINDOWS\system32\vhsadlag.dll NOT unregistered.
C:\WINDOWS\system32\vhsadlag.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xjkcpjpg.dll
C:\WINDOWS\system32\xjkcpjpg.dll NOT unregistered.
C:\WINDOWS\system32\xjkcpjpg.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\osejqavu.dll
C:\WINDOWS\system32\osejqavu.dll NOT unregistered.
C:\WINDOWS\system32\osejqavu.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ttahxd.dll
C:\WINDOWS\system32\ttahxd.dll NOT unregistered.
C:\WINDOWS\system32\ttahxd.dll moved successfully.
File/Folder C:\WINDOWS\system32\ecbfagcr.dll not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xoscvido.dll
C:\WINDOWS\system32\xoscvido.dll NOT unregistered.
C:\WINDOWS\system32\xoscvido.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\hbxewplk.dll
C:\WINDOWS\system32\hbxewplk.dll NOT unregistered.
C:\WINDOWS\system32\hbxewplk.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\jwrncn.dll
C:\WINDOWS\system32\jwrncn.dll NOT unregistered.
C:\WINDOWS\system32\jwrncn.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07302008_003326


Maintenant voici celui de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:38:36, on 2008-07-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Documents and Settings\MIKE\Bureau\OTMoveIt2.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2f%3flang%3den-CA
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: rappel.txt.txt
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\MDT6\AcPreview.ocx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O24 - Desktop Component 0: (no name) - http://www.rockdetente.com/emissions/images/15_1.jpg
O24 - Desktop Component 1: (no name) - file:///E:/htmldata/images/img00013.tis
0
Réponse 9 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Plus de trace d'infection.

---> Mets à jour Internet Explorer :
https://support.microsoft.com/fr-fr/allproducts

---> Mets à jour Java :
https://www.java.com/fr/download/manual.jsp

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Redémarre ton PC

Si tu n'as plus de problème, on passe à la dernière partie.
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Je ne cesserai de te remercier pour tout!

C'est fait, l'install d'I d'explorer a pris pas mal de temps..
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Re coucou

En fait là je fais rouler Spybot S&D une dernière fois pour qu'il me dise que le pc est clean. Je crois qu'il l'est grâce à toi! Sinon je suppose qu'il faudra désinstaller les progs qui ont servis. Pour ce qui est de la dernière partie, je crois que je vais continuer ça demain matin, un petit coup de pompe. Désolée c'est moi qui demande de l'aide et c'est moi qui flanche la première. En tout cas merci (eh oui encore une fois ;-P)

Bonne nuit ou bonne journée au choix! pi suis pas sûre dois-je mettre résolu car j'ai bien l'impression que ça l'est. Bah on verra ça demain!
Ciao
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Bonjour,
Ben ce matin j'ai le résultat du spybot et y a virtumonde.prx qui a été trouvé et je crois bien qu'il s'est réinstallé. Il est associé au fichier ECBFAGCR.dll
Je poste aussi le rapport hijackthis...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:39, on 2008-07-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: rappel.txt.txt
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\MDT6\AcPreview.ocx
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DvpApi (dvpapi) - Authentium, Inc. - C:\Program Files\Fichiers communs\Authentium\AntiVirus\dvpapi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O24 - Desktop Component 0: (no name) - http://www.rockdetente.com/emissions/images/15_1.jpg
O24 - Desktop Component 1: (no name) - file:///E:/htmldata/images/img00013.tis
0
Réponse 10 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Ok, refais un scan ComboFix, je vais vérifier un truc.
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Bonsoir :-)

Finalement, ce matin j'ai passé un combofix, j'ai vu qu'il y avait dans le registre BM251a25c3 associé à une dll qui aurait due se trouver dans system32 mais qui a sûrement due être supprimée (je l'ai cherché sans la trouver). (HKEY_CURRENT_USER\software\microsoft\windows\run- enfin je crois lol) Alors j'ai supprimé directement cette valeur dans le registre sachant que c'est fortement déconseillé et en espérant que ça sera sans conséquence.
J'ai aussi passé vundoFix, toujours en espérant que je n'ai pas fait une connerie (au cas où c'est un trojan) enfin bref il était conseillé sur plusieurs sites. Il n'a rien trouvé. J'ai passé encore clean, MBAM (qui n'ont rien trouvés) et encore une fois combofix mais cette fois-ci en le renommant et en mode sans echec et y avait plus rien de suspect (selon moi ;-P) dans le rapport. J'ai passe cclean puis spybot et pc clean.

Le blème c'est que j'ai tout viré du coup et je n'ai plus les rapports ni les logiciels d'installés.

J'ignore si j'ai bien fait en faisant ça mais il fallait que je finisse ça avant d'aller au boulot.

Et c'est aussi pour cette raison que je réponds en retard.

En tout cas thank you so much (pour changer des mercis à répétition) et c'est avec une sincère gratitude que je te le dis!

Ciao
je marque résolu.
0
Réponse 11 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
---> Utilise OTMoveIt2 pour ce texte :

C:\WINDOWS\System32\ECBFAGCR.dll

---> Utilise ceci pour supprimer les tools et leurs quarantaines :

Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport.
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Et bien j'ai un peu de mal avec ToolsCleaner car je ne sais jamais quand il a fini de scanner surtout quand il ne trouve rien..
Il ne m'a pas enlevé OTMoveIt, d'ailleurs voici le rapport (sûrement que je m'y prends mal quelque part) :
-->- Recherche:


---------------------------------
-->- Suppression:


Corbeille vidée!
Fichiers temporaires nettoyés !

je rajoute aussi le rapport de OTMoveIt :
File/Folder C:\WINDOWS\System32\ECBFAGCR.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07302008_225907
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Rectification, il l'a trouvé en le faisant rouler une seconde fois pour être sûre.. My bad... ;-P Alors voici le rapport :
-->- Recherche:

C:\_OtMoveIt: trouvé !

---------------------------------
-->- Suppression:

C:\_OtMoveIt: supprimé !
0
Réponse 12 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
Ok, c'est bon ;)
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Yeahhhh cool enfin lol vais pouvoir dormir sur mes deux oreilles :-)

Bon et bien bonne nuit et pour ne pas déroger à la règle.. muchas gracias!

Tschüss
0
Réponse 13 / 16
DeNisCoOl Messages postés 2871 Statut Membre 224
 
salut CtrlAltSuppr,

- Finalement, ce matin j'ai passé un combofix, j'ai vu qu'il y avait dans le registre BM251a25c3 associé à une dll qui aurait due se trouver dans system32 mais qui a sûrement due être supprimée (je l'ai cherché sans la trouver).
Destrio te l'avait fait fort justement enlever avec OTMoveIT.
J'imagine que tu parles de cette clé :
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"BM251a25c3"=Rundll32.exe "C:\WINDOWS\system32\wpvqvyfu.dll",s

- Et je répètes il a été demandé de ne plus utiliser Vundofix pour le moment, risque d'erreur lors du nettoyage

- C'est bien d'être désinfecté mais faudrait il que ta machine sois à jour également, IE 7, Firefox pour naviguer en priorité, version Java à jour...

- Et un bon parefeu du genre Online Armor ou Comodo, voir sur le site les tutoriels et les liens de téléchargement.

A+

Denis
0
Réponse 14 / 16
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 305
 
"- C'est bien d'être désinfecté mais faudrait il que ta machine sois à jour également, IE 7, Firefox pour naviguer en priorité, version Java à jour... "
---> IE et Java sont à jour.
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Je confirme!

Je sens que j'oublie quelque chose...hmm I wonder what ?_?
Ah je sais! T'ai-je dit MERCI?
0
Réponse 15 / 16
DeNisCoOl Messages postés 2871 Statut Membre 224
 
Destrio,

mea culpa, je n'avais pas vu le dernier HJThis.

A+
0
CtrlAltSuppr Messages postés 53 Statut Membre 2
 
Allo voisin! (chui une roseméroise ou rosemérienne j'sais plus trop)
Merci aussi pour tes conseilles, j'ai fait les updates nécessaires et vive FireFox. Pour ce qui est des infections, faut aussi dire que si on ne veut pas attraper des cochoneries faut naviguer safe c-à-d éviter les sites louches et la messagerie instantanée (Poker, etc..) et surtout pas d/l des cracks et de faux codecs. C'est sympa le P2P mais bon... And last but not least.. ne pas laisser quelqu'un d'autre se servir du pc (surtout pas son colloc pervers ;-P ou alors avec un compte limité). Et grâce à vous deux, je sais maintenant qu'il faut avoir ses logiciels à jour et de bons anti-virus et anti-spyware avec un pare-feu efficace. Le seul hic avec les anti-spyware et les pares-feu, c'est la phase d'apprentissage des softs à savoir ce qu'il faut autoriser ou non alors que les messages et fichiers associés sont parfois obscurs pour les non-initiés comme moi. Il y a aussi un important roulement dans le monde informatique qui rend obsolète la plupart des logiciels si ce n'est dangereux.
Bon, j'ai quand même une question qui me trottine dans la tête et me turlupine... Faut-il se méfier des forumeurs qui nous aident si généreusement en nous consacrant, faut le dire, plusieurs heures à se coltiner des "lents à la détente", des "pervers pris au fait", en somme des gens prêts à tous gober, des pigeons quoi! Est-ce que le clan des Samaritains a ressucité par hasard? Ne prennez pas ça pour de l'ingratitude.. c'est juste une interrogation sur les motivations de nos forumeurs experts en dévirussage dont je suis absolument redevable :-D

Ciao Ciao
0
Réponse 16 / 16
DeNisCoOl Messages postés 2871 Statut Membre 224
 
CtrlAltSuppr,

Le monde est vraiment petit j'habitais dans ton quartier il y a de cela moins d'un an.
Bref pour te rassurer en ce qui me concerne non, les gens ici sont juste passionné et curieux, mais il doit surement y'en avoir des moins sympathique.
Destrio je ne saurais dire il semble bien accro :-)

Je n'ai pas fait grand chose en tout cas tu as bien suivi ses instructions.

Effectivement les parefeu ont ce gros défaut d'apprentissage qui peut durer longtemps.

A+

Denis
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
Erreur 0x800700E1
Didiervd -
Viktimz -

11 réponses