infecté ou non ?

Question

Bonjour,

arfff désolé de vous embêter avec ça mais bon, si quelqu'un peux prendre un peu de son temps...

windows défender me dis que mon pc est infecté par un trojan (alerte grave ) du nom de Conhook, évidement il ne peux l'enlever ou le mettre en quarantaine.

syware terminator, pc tools spyware doctor, et zone alarm eux ne  trouvent rien....

alors trojan à bord du pc ou pas...

ayant parcourut le forum, j'ai un rapport Hijack This qui suit....et j'ai même essayer de le lire moi même (grâce au forum), mais heuuu comment dire, je préfère avoir l'aide de gens expérimentés donc voila...


par avance merci.

Morb.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:19:48, on 03/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\hp\kbd\kbd.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Windows\explorer.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\utilisateur\Desktop\HiJackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {6EB35830-8222-4990-A484-D21FEDD4B033} - C:\Windows\system32\iifddccB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A21B2404-BA01-44FC-998C-C737FCDF2A97} - C:\Windows\system32qRKETlK.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\iifddccB.dll,#1
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix: 
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

verni29 · Answer

Oui, il y a une infection.

Je te conseille de noter ou d'imprimer ce texte car la désinfection va se faire en mode sans échec.
Autre astuce : Copie/colle le texte dans un fichier .txt que tu enregistres sur ton bureau.

Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’exécuter . 
Ne choisis que la mise à jour. Le logiciel sera lancé en mode sans échec. 

Tu relances l'ordinateur en mode sans échec ( touche F8 après redémarrage ). 
Tu choisis ton compte utilisateur. 

Pour lancer MalwareBytes, double-clique sur le raccourci du bureau. 

Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
Clique sur lancer l’examen. 

A la fin de la recherche, Comme il est demandé, clique sur afficher les résultats de la recherche. 
Choisis alors Supprimer la selection pour nettoyer les infections. 
Tu postes le rapport dans ton prochain message.
Si tu ne le retrouves pas, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est.
Clique dessus et choisir ouvrir.

A+

verni29 · Answer

Bonjour, morbake

Tu vas m'envoyer un rapport Deckard's System Scanner.

Imprime ce qui suit ou note-le car il te faudra fermer toutes les applications.

- tu le télécharges à l'adresse suivante :
http://www.geekstogo.com/forum/files/

- ferme toutes les applications et fenêtres
- double-clique sur dss.exe pour le lancer
- il faut désactiver également les antivirus ou parefeu.

- s'il s'agit d'une première utilisation de DDS
tu devras cliquer 2 fois sur le OK des boîtes de Dialogue
Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
      - main.txt --> ouvert en premier plan et en plein écran
      - extra.txt --> ouvert en second plan et en fenêtré (regarde la barre des taches)
- Tu copies le contenu de main.txt dans ton prochain post
- copie également le contenu de extra.txt dans ton prochain post.
Et réactive les protections si elles ont été stoppées.

verni29 · Answer

Morbake, avant de m'envoyer les rapports de Deckard's System repair, fais ceci puisque tu es sous vista.

Durant la désinfection de ton ordinateur, les différentes manipulations doivent s’effectuer en tant qu’administrateur.
Dans le  panneau de configuration, choisir l’affichage classique.

Dans Comptes d’Utilisateurs --> activer ou désactiver le contrôle des comptes d’utilisateurs
Puis décoche la ligne "Utiliser le controle .. "

Pour lancer Deckard's System repair, click droit --> Executer en tant qu'administrateur.

A+

verni29 · Answer

Je vais devoir m'absenter.
je regarderais cela en fin d'après-midi.

A+

morbake · Answer

ok pas de probléme, encore merci de m'accorder du temps

main txt


Deckard's System Scanner v20071014.68
Run by utilisateur on 2008-08-03 11:12:12
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- Last 1 Restore Point(s) --
1: 2008-08-03 09:05:30 UTC - RP426 - Last known good configuration


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as utilisateur.exe) -----------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:09, on 03/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\hp\kbd\kbd.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Users\utilisateur\Desktop\dss.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\UTILIS~1\Desktop\utilisateur.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32qRKETlK.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix: 
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

verni29 · Answer

Tu vas télécharger ComBoFix.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )

Lance Combofix.exe et suis les invites.
Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

morbake · Answer

ton lien me renvoie sur un combofix incompatible avec vista...

morbake · Answer

arff du nouveau, et un peu pénible..

si je veux ouvrir, le panneau de config ou l'explorateur window, c'est impossible et en plus j'ai un message d'alerte d'avast.

c:\windows\system32RKETIK.dll 
win32: Virtumonde-NN[adw]

pour revenir sur combofix..c'est à l'install qu'il me dit qu'il n'est pas compatible avec vista, même en faisant un clic droit pour utiliser en tant qu'admin.

verni29 · Answer

1) Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique sur VirtumundoBeGone.exe et suis les instructions. 
Une fois terminé, redémarre l’ordinateur .
Copie/colle le contenu du rapport VBG.TXT créé sur le bureau.

2) Attention, pour ComBofix, tu n'as pas besoin de l'installer. C'est un exécutable ComBofix.exe que tu enregistres sur ton bureau.
Il ne faut pas l'extraire.
Pour le lancer, tu doubles-cliques dessus. C'est tout.
S'il le faut tu supprimes ce que tu as fait et tu le retélécharges.

Après virtumondegegone, repasse le et dis moi si tu as encore le même problème.

A+

morbake · Answer

alors alors,

avast m'a signaler Virtumonde a chaque fois que j'essayais d'ouvrir soit le panneau de confi, soit l'explorateur.

a chaque fois je lui ai dis de le supprimer, impossible pour avast, donc de le mettre en quarantaine...

et puis une fois avast a pu le supprimer...

bref rapport vbg.txt


[08/04/2008, 10:42:24] - VirtumundoBeGone v1.5 ( "C:\Users\utilisateur\Desktop\VirtumundoBeGone.exe" )
[08/04/2008, 10:42:45] - Detected System Information:
[08/04/2008, 10:42:45] -  Windows Version: 6.0.6000, 
[08/04/2008, 10:42:45] -  Current Username: utilisateur (Admin)
[08/04/2008, 10:42:45] -  Windows is in NORMAL mode.
[08/04/2008, 10:42:45] - Searching for Browser Helper Objects:
[08/04/2008, 10:42:45] -  BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (Aide pour le lien d'Adobe PDF Reader)
[08/04/2008, 10:42:45] -  BHO 2: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} ()
[08/04/2008, 10:42:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/04/2008, 10:42:45] -  Checking for HKLM\...\Winlogon\Notify\ctbr
[08/04/2008, 10:42:45] -  Key not found: HKLM\...\Winlogon\Notify\ctbr, continuing.
[08/04/2008, 10:42:45] -  BHO 3: {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} (EWPBrowseObject Class)
[08/04/2008, 10:42:45] -  BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/04/2008, 10:42:45] -  BHO 5: {7E853D72-626A-48EC-A868-BA8D5E23E045} ()
[08/04/2008, 10:42:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/04/2008, 10:42:45] -  No filename found. Continuing.
[08/04/2008, 10:42:45] -  BHO 6: {807EB1F3-354C-4896-AAFD-3BB564D575DC} ()
[08/04/2008, 10:42:45] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/04/2008, 10:42:45] -  Checking for HKLM\...\Winlogon\Notify\rqRKETlK
[08/04/2008, 10:42:45] -  Key not found: HKLM\...\Winlogon\Notify\rqRKETlK, continuing.
[08/04/2008, 10:42:45] -  BHO 7: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Programme d'aide de l'Assistant de connexion Windows Live)
[08/04/2008, 10:42:45] -  BHO 8: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[08/04/2008, 10:42:45] -  BHO 9: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[08/04/2008, 10:42:45] - Finished Searching Browser Helper Objects
[08/04/2008, 10:42:45] - Finishing up...
[08/04/2008, 10:42:45] - Nothing found! Exiting...


a l'issue de l'analyse le pc n'a pas re booté ? normal ça ?

sinon toujours impossible de lancer l'exécutable de combofixe, il me dit que l'OS n'est pas compatible ....

verni29 · Answer

Peux-tu essayer en mode sans échec pour ComBofix ?

Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte. 

Double sur Combofix.exe et suis les invites. 
Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

morbake · Answer

c'est pareil, en mode sans echec, j'ai la même fenêtre qui s'ouvre, OS incompatible avec vista.

sinon au redémarrage en mode normal, spyware terminator a ouvert une fenêtre :

modification au démarrage, dans explorer.exe app enregistré : bm3d5076b4=c:\windows\system 32\gbdpelfb.dll

j'autorise ou je bloque ?

de plus une fois sur deux quand je démarre firefox, j'ai une fenetre qui me dit connexion reinitialisée et je n'ai donc pas internet, si a ce moment je coupe Zone Alarm et que je relance firefox...ça marche...

verni29 · Answer

Non, tu bloques cette modification.
C'est une attaque par un trojan.

Pour l'instant, on n'arrive pas à passer ComBofix.
On y reviendra.

1) Télécharge OTMoveIt (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 

C:\Windows\system32\rqRKETlK 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

2) Ouvre le bloc-notes et copie le texte en citation.
Enregistre le sur le bureau et nomme le fix.txt

REGEDIT4

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{807EB1F3-354C-4896-AAFD-3BB564D575DC}] 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=-

Renomme le en fix.reg ( click droit --> renommer )
Click droit sur ce fichier --> choisis Fusionner.

A+

morbake · Answer

la fusion est faite

move it n'a rien trouvé donc je n'ai pas eu de rapport

voici ce qu'il y avait dans la case result : File/Folder C:\Windows\system32\rqRKETlK not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_114026

verni29 · Answer

Le trojan vundo est supprimé.
C'est surprenant que tu n'arrives pas à passer ComBofix.

1) Il y a une infection par clé USB de présente ( adobeR.exe ).

Télécharge RavAntivirus :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus

Important : Si tu as une ou plusieurs clés USB, un disque externe, ...., branche-les sans les ouvrir avant de lancer ce logiciel.

Fais un clic droit sur le fichier RAV.zip --> Extraire sur --> Bureau
Click droit sur RAV.exe et choisis Exécuter en tant qu'administrateur pour lancer l'outil.

Une fois RAV ANTIVIRUS lancé, laisse le travailler.
Si il y a une infection, un rapport va s'afficher, sinon tu auras le message suivant : " Votre Ordinateur est sain " .

Retire la clé USB ou autre disque dur externe et redémarre l'ordinateur.
Poste le rapport si il y a une infection.

2) télécharge FlashDésinfector :
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfec­tor.exe
même manip pour le lancer ( click droit .... ). 

3) Après ca, tu me postes un rapport Hijackthis.
Fais un click droit sur le raccourci --> choisis Exécuter en tant qu'administrateur.

A+

verni29 · Answer

je te remets l'adresse de flashdésinfector ( le lien est cassé )

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

C'est un utilitaire qui va te permettre de supprimer l'infection sur chaque clé.

A+

morbake · Answer

j'ai envoyé trois réponses que je ne vois pas sur le forum...ça reste bloqué sur ta réponse a 12h36 c'est normal ?

morbake · Answer

ça a l'air de refonctionner (le forum) car je vois mon dernier message

ne sachant pas ou on en ai je te refait un topo

clé usb rav ok sauf une, un virus de trouvé et supprimé par rav, puis clefs passées à flash disinfector.

reboot du pc et plantage..ecran noir, reboot en mode sans échec rebelote plantage (depuis la fusion en fait) reboot en mode : relancer avec la dernière bonne config connue et ça marche

rapport Hijack This

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:01, on 04/08/2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Windows\System32undll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\hp\kbd\kbd.exe
C:\Windows\Explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\utilisateur\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60327
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32qRKETlK.dll (file missing)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [BM3d5076b4] Rundll32.exe "C:\Windows\system32\gbdpelfb.dll",s
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O13 - Gopher Prefix: 
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

verni29 · Answer

Si je te comprends bien, tu as utilisé un point de restauration.

verni29 · Answer

Réessaie ComBofix.

Tu vas télécharger ComBoFix sur le bureau. 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Redémarre l'ordinateur en mode sans échec ( touche F8 ) et choisis ton compte. 

Double sur Combofix.exe et suis les invites. 
Une fois le scan fini, un rapport va apparaitre. 

Copie/colle ce rapport dans ta prochaine réponse. 
Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

morbake · Answer

heuuuu....

j'ai relancé le pc....ecran noir  pas plus....15 minutes d'attente...rien

j'ai relancé le pc en mode sans échec rebelote écran noir ..15 minutes

j'ai relancé le pc touche F8 : relancer avec la derniere bonne config connue, et là ça marche.

tiens une nouvelle fenetre : windows me dis microsoft a détecté : Win32:Vundo.gen!H

et j'ai toujours ma petite fenetre (en bas a droite) de spyware terminator qui bloque le trojan de tout a l'heure..

verni29 · Answer

Réessaie ComBofix en mode sans échec.

morbake · Answer

je suis sur un autre pc

combo fix est passé

il a relancé le pc et je pense qu'il est en stand by par spyware terminator (qui s'est relancé au reboot)

car j'ai une fenetre spyware terminator

action : modification des services
processus : catchme.cfexe
app enregistré : c:\combofix\catchme.sys

j'autorise ou je bloque ?

morbake · Answer

rapport combofix

ComboFix 08-08-03.05 - utilisateur 2008-08-04 14:34:05.1 - NTFSx86
Microsoft® Windows Vista™ Édition Familiale Premium   6.0.6000.0.1252.1.1036.18.1289 [GMT 2:00]
Endroit: C:\Users\utilisateur\Desktop\ComboFix.exe
 * Création d'un nouveau point de restauration
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\drivers\mdelk.exe
C:\Windows\system32\gbdpelfb.dll
C:\Windows\system32\KlTEKRqr.ini
C:\Windows\System32\KlTEKRqr.ini2

.
(((((((((((((((((((((((((((((   Fichiers cr‚‚s 2008-07-04 to 2008-08-04  ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-04 12:39	352,615	---ha-w	C:\Windows\system32\drivers\vsconfig.xml
2008-08-04 09:36	---------	d-----w	C:\ProgramData\Google Updater
2008-08-04 09:22	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\Spyware Terminator
2008-08-04 08:19	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\GigaTribe
2008-08-04 08:16	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\Xfire
2008-08-04 07:22	136,888	----a-w	C:\Windows\system32\drivers\PnkBstrK.sys
2008-08-03 15:53	---------	d-----w	C:\Users\utilisateur\AppData\Roaming	eamspeak2
2008-08-03 09:31	---------	d-----w	C:\ProgramData\Xfire
2008-08-03 08:16	---------	d-----w	C:\Program Files\Spyware Doctor
2008-08-03 06:13	---------	d-----w	C:\Program Files\Malwarebytes' Anti-Malware
2008-08-03 04:00	---------	d-----w	C:\ProgramData\Spyware Terminator
2008-08-03 03:59	---------	d-----w	C:\Program Files\Spyware Terminator
2008-08-03 03:58	141,312	----a-w	C:\Windows\system32\drivers\sp_rsdrv2.sys
2008-08-03 03:58	---------	d-----w	C:\Program Files\Crawler
2008-08-02 11:59	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\PC Tools
2008-08-02 11:01	---------	d---a-w	C:\ProgramData\TEMP
2008-08-02 10:13	---------	d-----w	C:\Program Files\Spybot - Search & Destroy
2008-08-02 10:10	---------	d-----w	C:\ProgramData\Spybot - Search & Destroy
2008-08-02 10:10	---------	d-----w	C:\Program Files\BitDefender
2008-08-02 06:39	---------	d-----w	C:\Program Files\Common Files\BitDefender
2008-08-02 06:17	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\GetRightToGo
2008-08-02 06:15	---------	d-----w	C:\Program Files\Google
2008-08-02 04:23	---------	d-----w	C:\ProgramData\Grisoft
2008-08-01 21:34	---------	d-----w	C:\ProgramData\BOONTY
2008-08-01 21:34	---------	d-----w	C:\Program Files\Boonty
2008-08-01 21:14	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\Simply Super Software
2008-08-01 21:14	---------	d-----w	C:\ProgramData\Simply Super Software
2008-08-01 21:14	---------	d-----w	C:\Program Files\Trojan Remover
2008-08-01 19:27	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\Malwarebytes
2008-08-01 19:27	---------	d-----w	C:\ProgramData\Malwarebytes
2008-08-01 19:23	---------	d-----w	C:\Program Files\a-squared HiJackFree
2008-08-01 16:03	---------	d-----w	C:\Program Files\a-squared Free
2008-08-01 13:09	---------	d-----w	C:\Program Files\Arovax AntiSpyware
2008-08-01 04:49	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\AlauxSoft
2008-08-01 04:49	---------	d-----w	C:\Program Files\Comptes et Budget Free V5.0
2008-07-31 09:34	---------	d-----w	C:\Program Files\SystemRequirementsLab
2008-07-31 09:33	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\SystemRequirementsLab
2008-07-30 18:07	38,472	----a-w	C:\Windows\system32\drivers\mbamswissarmy.sys
2008-07-30 18:07	17,144	----a-w	C:\Windows\system32\drivers\mbam.sys
2008-07-30 07:04	53,248	----a-w	C:\Windows\ipuninst.exe
2008-07-30 07:02	---------	d-----w	C:\Program Files\BlackIsle
2008-07-26 20:39	---------	d-----w	C:\Program Files\NeoTrace Express
2008-07-26 16:40	352,615	---ha-w	C:\Windows\system32\drivers\vsconfig(250).xml
2008-07-26 13:36	---------	d-----w	C:\Program Files\McDonaldsDragons
2008-07-23 09:22	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-07-23 09:22	---------	d-----w	C:\Program Files\Infogrames
2008-07-22 09:02	---------	d-----w	C:\Program Files\Xfire
2008-07-19 17:43	---------	d-----w	C:\ProgramData\TERMINAL Studio
2008-07-19 14:36	51,280	----a-w	C:\Windows\system32\drivers\aswMonFlt.sys
2008-07-18 13:29	---------	d-----w	C:\Program Files\NovaLogic
2008-07-18 11:50	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\funkitron
2008-07-18 10:00	---------	d-----w	C:\ProgramData\PopCap Games
2008-07-18 10:00	---------	d-----w	C:\Program Files\orange
2008-07-18 10:00	---------	d-----w	C:\Program Files\GamesBar
2008-07-18 10:00	---------	d-----w	C:\Program Files\Common Files\Oberon Media
2008-07-17 14:32	---------	d-----w	C:\Program Files\Seagrand
2008-07-14 16:35	---------	d-----w	C:\Program Files\films
2008-07-14 07:03	---------	d-----w	C:\ProgramData\Diskeeper Corporation
2008-07-14 06:35	---------	d-----w	C:\Program Files\Microsoft Games
2008-07-14 06:14	---------	d-----w	C:\ProgramData\NVIDIA
2008-07-14 05:23	---------	d-----w	C:\Program Files\Common Files\Microsoft Games
2008-06-25 04:08	---------	d-----w	C:\Program Files\Windows Mail
2008-06-20 18:01	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\ArcSoft
2008-06-20 18:00	---------	d-----w	C:\Users\utilisateur\AppData\Roaming\Canon
2008-03-26 14:33	91,192	----a-w	C:\Users\utilisateur\AppData\Roaming\GDIPFONTCACHEV1.DAT
2008-02-03 15:32	22,328	----a-w	C:\Users\utilisateur\AppData\Roaming\PnkBstrK.sys
2007-10-23 15:48	174	--sha-w	C:\Program Files\desktop.ini
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KBD"="C:\HP\KBD\KbdStub.EXE" [2006-12-08 18:16 65536]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-04-19 18:11 151552]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2008-05-16 14:01 13535776]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-08-03 05:58 1783808]
"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 17:38 4390912 C:\Windows\RtHDVCpl.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ProfSvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@=""

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Microsoft Office.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk
backup=C:\Windows\pss\Microsoft Office.lnk.CommonStartup
backupExtension=.CommonStartup

[HKLM\~\startupfolder\C:^Users^utilisateur^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^TribalWeb.lnk]
path=C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TribalWeb.lnk
backup=C:\Windows\pss\TribalWeb.lnk.Startup
backupExtension=.Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Readereader_sl.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversionun-]
"AdobeUpdater"=C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
"WMPNSCFG"=C:\Program Files\Windows Media Player\WMPNSCFG.exe
"EPSON Stylus DX4400 Series"=C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SE12E.tmp" /EF "HKCU"
"ehTray.exe"=C:\Windows\ehome\ehTray.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
"Speech Recognition"="C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
"Sidebar"=C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
"NeroFilterCheck"=C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OBealsched.exe"  -osboot
"Windows Mobile-based device management"=%windir%\WindowsMobile\wmdSync.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-4157885162-2316668312-3984447808-1001]
"EnableNotificationsRef"=dword:00000004

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{4CB1F77F-F403-4321-8D23-70FB70CCCA56}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{26A31198-65CE-48F3-A5BD-07163DE3618D}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.exe:SPCM
"{CD61E78C-BD93-4D02-929F-88CAED04F5B1}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{EE96F814-5637-43FB-93DE-D916B8F9C3C1}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe:Intel(R) Viiv(TM) Media Server
"{507DC995-9177-4318-A170-1ACDE684A6BB}"= UDP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{C72A90ED-6963-4C81-BB5F-EE5CCE0818A5}"= TCP:C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe:Intel(R) Remoting Service
"{6B4A54A7-4934-4DE1-873C-8E7992D3C207}"= TCP:9442:127.0.0.1:Intel(R) Viiv(TM) Media Server Discovery
"{3CE6ECAA-3B71-4066-9BE8-50B743EF3272}"= TCP:1900:LocalSubnet:LocalSubnet:Intel(R) Viiv(TM) Media Server UPnP Discovery
"TCP Query User{97253F66-C00B-422B-8282-F0484482A5FA}C:\program files\novalogic\joint operations typhoon rising\jointops.exe"= UDP:C:\program files
ovalogic\joint operations typhoon rising\jointops.exe:Jointops
"UDP Query User{ED6A62D3-A770-47E0-B689-AB231B6739D9}C:\program files\novalogic\joint operations typhoon rising\jointops.exe"= TCP:C:\program files
ovalogic\joint operations typhoon rising\jointops.exe:Jointops
"TCP Query User{9A821945-7346-433E-A35A-46AFA56254B3}C:\program files\novalogic\joint operations typhoon rising\update.exe"= UDP:C:\program files
ovalogic\joint operations typhoon rising\update.exe:UPDATE
"UDP Query User{0E45408B-5EC8-4DB7-AB8A-8B05D23BA4CD}C:\program files\novalogic\joint operations typhoon rising\update.exe"= TCP:C:\program files
ovalogic\joint operations typhoon rising\update.exe:UPDATE
"TCP Query User{8B09E0C5-67AA-4FA3-ACBB-CC4B2A2A226A}C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe"= UDP:C:\program files\bhd	ruc	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{DF49937E-8A3E-464E-9FCC-C83A284E1FF3}C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe"= TCP:C:\program files\bhd	ruc	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{1BA8BB44-42B9-404B-93CE-60DDEA59D5E8}C:\program files\tribalweb\tribalweb.exe"= UDP:C:\program files	ribalweb	ribalweb.exe:tribalweb
"UDP Query User{DBC9821C-865D-443E-B79B-932D229BC7EB}C:\program files\tribalweb\tribalweb.exe"= TCP:C:\program files	ribalweb	ribalweb.exe:tribalweb
"{8873D012-4894-4600-BDDE-AD7ACF4C07C2}"= UDP:C:\Program Files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"{32433785-1541-489B-851B-2CCE259D1678}"= TCP:C:\Program Files\Cyanide\GameCenter\GameCenter.exe:GameCenter
"TCP Query User{C3B56AFA-9EA3-4F49-BD53-5627231D626C}C:\program files\bittorrent\bittorrent.exe"= UDP:C:\program files\bittorrent\bittorrent.exe:bittorrent
"UDP Query User{21411806-8D5D-4BBB-8ADC-E2A249E2EC16}C:\program files\bittorrent\bittorrent.exe"= TCP:C:\program files\bittorrent\bittorrent.exe:bittorrent
"TCP Query User{C40C0F0B-4A79-4240-8A3A-BE8C198C2256}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{AE87D4EA-E61D-4C2E-B7EB-B680D9835864}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"TCP Query User{808AFA22-B97E-48DF-9635-231FE051913C}C:\program files\tribalweb\tribalweb.exe"= UDP:C:\program files	ribalweb	ribalweb.exe:tribalweb
"UDP Query User{4B25ACC0-F4AB-4CAC-B1CD-8550AB3AF3C9}C:\program files\tribalweb\tribalweb.exe"= TCP:C:\program files	ribalweb	ribalweb.exe:tribalweb
"TCP Query User{9F8CE0EE-1DF4-480B-B17C-C0739AFCA233}C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe"= UDP:C:\program files\bhd	ruc	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{9B128FFA-2E7E-4B98-B835-E1BCFFB37BB0}C:\program files\bhd\truc\truc\delta force black hawk down\dfbhd.exe"= TCP:C:\program files\bhd	ruc	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"{9E1A1BE1-2E2F-4507-A03C-053DE7B99F4F}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{30B12F95-7611-44CB-8B6B-E9FD9EF0DAE0}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{292700DE-329D-4621-8D61-3F7BBE51DF52}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{02DE71A0-2185-484D-9D50-541AFEF8C31E}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{F61AB914-CA90-4972-9B83-B411BC73C55B}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{925B8AC8-F87D-418C-8021-0A631189DCB9}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM)
"{71DFEC6F-7993-4D26-B594-A008689F043D}"= UDP:990:LocalSubnet:LocalSubnet|IF={B087264E-386D-4CD0-A2E5-F6CE406921C0}|%SystemRoot%\system32\svchost.exe|Svc=rapimgr:@%systemroot%\WindowsMobile\wmdSync.exe,-4001
"TCP Query User{6B62DD4D-AB6B-4EE7-AD4A-F707BDC5BB58}C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe"= UDP:C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe:call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2)
"UDP Query User{EAF5EC4B-27EB-4759-8EFF-74FC1517E839}C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe"= TCP:C:\program files\activision\call of duty 4 - modern warfare\call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2).exe:call_of_duty_4_modern_warfare_patch_v1.1_multi-langues_182170(2)
"TCP Query User{1108B711-57D9-4E1F-8378-87B1708B7891}C:\program files\xfire\xfire.exe"= UDP:C:\program files\xfire\xfire.exe:Xfire
"UDP Query User{73B81E25-0F84-44F4-BB98-12D41FB76FA7}C:\program files\xfire\xfire.exe"= TCP:C:\program files\xfire\xfire.exe:Xfire
"TCP Query User{83B8A739-1AD3-4180-8BFB-656328B17862}C:\program files\novalogic\delta force black hawk down\update.exe"= UDP:C:\program files
ovalogic\delta force black hawk down\update.exe:UPDATE
"UDP Query User{9540D55E-E512-4DE4-A654-CEF607DE5FD6}C:\program files\novalogic\delta force black hawk down\update.exe"= TCP:C:\program files
ovalogic\delta force black hawk down\update.exe:UPDATE
"TCP Query User{0FD89FCD-76ED-4046-AAA1-ADB6807D4A47}C:\program files\novalogic\delta force black hawk down\dfbhd.exe"= UDP:C:\program files
ovalogic\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{CCEF37C0-E82D-47BB-B2D8-908E28BAC4C2}C:\program files\novalogic\delta force black hawk down\dfbhd.exe"= TCP:C:\program files
ovalogic\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{06EC86FD-0320-4A11-904A-5BBDD163DAEF}C:\program files\momo\bhd\truc\delta force black hawk down\dfbhd.exe"= UDP:C:\program files\momo\bhd	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"UDP Query User{57557E15-38F9-4B55-A4FA-006CBAA94151}C:\program files\momo\bhd\truc\delta force black hawk down\dfbhd.exe"= TCP:C:\program files\momo\bhd	ruc\delta force black hawk down\dfbhd.exe:DFBHD
"TCP Query User{C6C3FD4D-9900-426F-8F8B-97351899641A}C:\program files\emule\emule.exe"= UDP:C:\program files\emule\emule.exe:eMule
"UDP Query User{3C7E3E11-2487-45D4-98E1-AE5BB9DE5315}C:\program files\emule\emule.exe"= TCP:C:\program files\emule\emule.exe:eMule
"{5C634D01-30C0-4EA0-8825-CFE91624D347}"= UDP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{CA72BBA9-FD71-493B-AF80-1BDC1FC7309A}"= TCP:C:\Windows\System32\PnkBstrA.exe:PnkBstrA
"{2FD55FA6-14D8-4E27-8779-C6FA7187BDCC}"= UDP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"{47DE0DEB-6D96-465C-A95B-21251EDB670A}"= TCP:C:\Windows\System32\PnkBstrB.exe:PnkBstrB
"TCP Query User{6A6EBC23-A50E-4C55-9A04-C3A9D0CF3E8E}C:\program files\mozilla firefox\firefox.exe"= UDP:C:\program files\mozilla firefox\firefox.exe:Firefox
"UDP Query User{E366CF8D-F4C8-493D-A4F4-AED786776064}C:\program files\mozilla firefox\firefox.exe"= TCP:C:\program files\mozilla firefox\firefox.exe:Firefox
"{C38FFFBE-6D68-48DD-93F0-51043C0AD5D2}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{458D6446-DEA3-491C-B833-D12CAF24240D}"= Disabled:UDP:C:\Users\utilisateur\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer
"{4CFF8860-BD5F-4032-8825-28E2A204B38C}"= Disabled:TCP:C:\Users\utilisateur\AppData\Local\Temp\ImInstaller\incredimail_installer.exe:IncrediMail Installer
"{70FEF9AE-DA48-4AB1-8AAD-89875DEA8615}"= UDP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 
"{133AAD93-AA7F-415E-9354-5DDC7BA45710}"= TCP:C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe:Call of Duty(R) 4 - Modern Warfare(TM) 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\BitTorrent\bittorrent.exe"= C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent
"C:\Program Files\uusee\UUSeePlayer.exe"= C:\Program Files\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer

R1 aswSP;avast! Self Protection;C:\Windows\system32\drivers\aswSP.sys [2008-07-19 16:35]
R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\Windows\system32\drivers\sp_rsdrv2.sys [2008-08-03 05:58]
R2 aswFsBlk;aswFsBlk;C:\Windows\system32\DRIVERS\aswFsBlk.sys [2008-07-19 16:37]
R2 aswMonFlt;aswMonFlt;C:\Windows\system32\DRIVERS\aswMonFlt.sys [2008-07-19 16:36]
R2 DQLWinService;DQLWinService;C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe [2006-09-03 10:32]
R2 UxTuneUp;TuneUp Extension de thème;C:\Windows\System32\svchost.exe [2006-11-02 11:45]
R3 camfilt2;camfilt2;C:\Windows\system32\DRIVERS\camfilt2.sys [2007-08-29 16:56]
R3 ovt530;Hercules Deluxe Webcam;C:\Windows\system32\Drivers\ov530vid.sys [2007-02-02 15:55]
S2 IntelDHSvcConf;Intel DH Service;C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe [2006-05-10 09:13]
S3 LTXMD_VAC;Litex Media Virtual Audio Cabel (WDM);C:\Windows\system32\drivers\lmvac.sys [2008-04-28 21:27]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\Windows\System32\TuneUpDefragService.exe [2008-03-30 10:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{284fc49f-84a8-11dc-8394-001bfcb58a60}]
\shell\AutoRun\command - J:\autorun.exe
\shell\setup\command - J:\setup.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-04 C:\Windows\Tasks\Maintenance en 1 clic.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-03-03 09:42]

2008-08-03 C:\Windows\Tasks\User_Feed_Synchronization-{886EB2CC-F919-4C7F-861E-B97C54E63899}.job
- C:\Windows\system32\msfeedssync.exe [2006-11-02 11:45]
.
- - - - ORPHANS REMOVED - - - -

BHO-{807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32qRKETlK.dll
HKLM-Run-BM3d5076b4 - C:\Windows\system32\gbdpelfb.dll
MSConfigStartUp-MsnMsgr - C:\Program Files\MSN Messenger\msnmsgr.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 14:40:38
Windows 6.0.6000  NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...


**************************************************************************
.

verni29 · Answer

Il y a une trace d'infection par un bagle. On attrape cette infection via le P2P ( emule et compagnie ) en téléchargeant de faux cracks de logiciels.

1) On va le vérifier.

il faut utiliser Elibagla :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp

Téléchargement en bas de page : descargar Elibagla
Enregistre-le sur ton bureau.

Lance l'executable ( click droit --> Executer en tant qu'administrateur )
Tu postes le rapport qui se trouve en C:\Infosat.txt.

2) poste moi un rapport Hijackthis ( click droit --> Executer en tant qu'administrateur )

A+

verni29 · Answer

1) Lance Hijackthis et tu choisis " Do a system scan only ".
Tu sélectionnes les lignes suivantes :

O2 - BHO: (no name) - {807EB1F3-354C-4896-AAFD-3BB564D575DC} - C:\Windows\system32\rqRKETlK.dll (file missing) 
O4 - HKLM\..\Run: [BM3d5076b4] Rundll32.exe "C:\Windows\system32\gbdpelfb.dll",s 
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU) 
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing) 

Tu choisis l'option " Fixchecked" en bas de la page.

2) Il y a trois logiciels de P2P sur le PC : emule, bit torrent et trialweb.
Tu devrais au moins en désinstaller deux, et en particulier trialweb.
Dis moi si tu le trouves dans le panneau de configuration.
choisis affichage classique --> Programmes

Tant que tu y es, regarde si il y a le logiciel spywareDoctor qui est installé par défaut avec ZoneAlarm.

Utilises-tu AVG 7.5 ? Si non, désinstalle le.

3) Quel est ton lecteur J: ?

4) Relance elibagla.
poste le rapport qui est en C:\Infosat.txt

A+

morbake · Answer

scan only effectué ligne demandées fixées.

emule schootée

pas trouvé le bittorent ni le trailweb (tribalweb/gigatribe) sous le panneau de config\désinstaller un programme...

morbake · Answer

comme tu as du le voir j'ai essayé pas mal d'antispyware avant de passer sur le forum

on fait un point

zone alarm se lance au démarrage

tc tools spyware doctor ne se lance pas au démarrage

spyware terminator se lance au démarrage

par avg 7.5 tu entend avast ?

je refais le truc espagnol et te dis

verni29 · Answer

1) Télécharge OTMoveIt  (de Old_Timer) sur ton Bureau. 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 

Double-clique sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 

C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TribalWeb.lnk 
C:\Windows\pss\TribalWeb.lnk.Startup 
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

2) Il y a deux barres d'outils qui espionnent ton PC.

Télécharge Toolbar-S&D sur ton Bureau : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue puis valide. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Copie/colle le contenu du rapport situé dans C:\TB.txt .

3) J'aurais bien aimé voir le rapport d'Elibagla.
Peux-tu me le poster ?

A+

morbake · Answer

elibagla

pendant son execution 4 fenetres ouvertes

acceso denegado a la carpeta

c\window\registration\CRMLog (16)

c\windows\system 32\com\dmp (16)

c\windows\system32\LogFiles\WMI\RtBackup (16)

c\windows\system32\spool\printers (16)


j'ai cliqué sur ok a chaque fois

voici le rapport


	  Mon Aug 04 15:06:24 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Aug 04 15:06:28 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\QooBox\Quarantine\C\Windows\System32\drivers\MDELK.EXE.VIR --> Eliminado Bagle.dldr

Nº Total de Directorios:   15318
Nº Total de Ficheros:      106436
Nº de Ficheros Analizados: 14730
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Mon Aug 04 15:38:01 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Mon Aug 04 15:38:03 2008
EliBagle v11.66  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   15310
Nº Total de Ficheros:      106218
Nº de Ficheros Analizados: 14684
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

morbake · Answer

rapport moveit

File/Folder C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start­ Menu\Programs\Startup\TribalWeb.lnk not found.
C:\Windows\pss\TribalWeb.lnk.Startup moved successfully.
C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_154659

morbake · Answer

ai fait aussi le Toolbar-S&D. 

aprés avoir fait 1 rechercher entrée

la fenetre se ferme et il ne se passe rien, pas de rapport TB sous C....

verni29 · Answer

Désolé, j'ai oublié : VISTA

Click droit --> Executer en tant qu'administrateur pour lancer Toolbar S&D

A+

morbake · Answer

pareil, clic droit ou pas ...résultat identique ...

morbake · Answer

le pc est plus rapide qu'avant pour l'ouverture des logiciels...


merci a toi de passer tant de temps avec le boulet que je suis en informatique

verni29 · Answer

1) Tu vas aller dans le panneau de configuration.
Programmes --> Désinstalle Crawler Toolbar  et GamesBar ( si présent )
                         Désinstalle aussi ToolBar 

Dis moi si tu les trouves.

2) J'ai un doute sur une infection possible : Dossiers douteux
On attrape cette infection via justement des bannières de publicités sur des pages Webs ou en installant certains logiciels comme : 
* BitDownload 
* BitGrabber 
* BitRoll 
* MessengerPlus! 3 sous le nom de sponsors 
* Messenger Plus! Live sous le nom de sponsors 
* NetPumper 
* TorrentQ 
* Torrent101

Télécharge LopS&D.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2 
Installe le logiciel. Une icône va apparaitre sur le bureau. 
Lance le logiciel en tant qu’administrateur. ( click droit --> Exécuter en tant qu’administrateur )
Tu choisis la langue et valide  puis l'option 1 pour effectuer la recherche.
A la fin de la recherche, un rapport LopR.txt apparait. Il se trouve en C:\LopR.txt. 
Tu posteras ce rapport dans le prochain message.

A+

morbake · Answer

crawler tools bar shooté

toolsbar pas trouvé dans le panneau de config\désintallation de prg

Lop pas fonctionné, fenetre rouge me disant just for windows XP et Vista 32 Bytes...

verni29 · Answer

1) Pourquoi, c'est Vista 64 bits que tu as ?

2) Et GamesBar ?

3) Fais appraitre les fichiers et les dossiers cachés.
Démarrer --> Ordinateur --> Appuie sur Alt.
Ceci va faire apparaitre un menu identique à celui de XP.

Menu Outils --> Options des dossiers --> Onglet Affichage
Vérifier que " Afficher les fichiers et dossiers cachés" est coché.
Vérifier que " Masquer les fichiers protégés du système d'exploitation ( recommandé )" est décoché.

Va voir dans les dossiers suivants et dis moi du mieux possible le contenu ( .exe, ... )

C:\Users\utilisateur\AppData\Roaming­\GigaTribe 
C:\Users\utilisateur\AppData\Roaming\Simply Super Software

C:\ProgramData\Simply Super Software 
C:\ProgramData\GigaTribe 
C:\Program Files\GamesBar 

A+

verni29 · Answer

Je sois m'absenter. Je te mettrais la suite ce soir sur le forum.

A+

morbake · Answer

1) comment savoir si vista 32 ou 64 ?

2) pas trouvé de Games bar

3)

C:\Users\utilisateur\AppData\Roaming­\GigaTribe

fichiers existants :

chathistoryMorbake.bin
News Morbake.jpg
Session.log
upnp.log



C:\Users\utilisateur\AppData\Roaming\Simply Super Software

un dossier TRojan remover : vide




C:\ProgramData\Simply Super Software

un dossier Trojan Remover\Data  : vide





C:\ProgramData\GigaTribe

pas de dossier ou fichiers de ce nom sous ce repertoire



C:\Program Files\GamesBar 
Localization-French.ini

morbake · Answer

vista 32 sur mon pc, je viens de regarder dans systeme et maintenance

verni29 · Answer

1) Ce l'est pas normal que les 2 logiciels ( Toolbar et lop ) ne fonctionnent pas.
Peux-tu vérifier si l'UAC est désactivé ? 
http://www.commentcamarche.net/forum/affich 7717716 infecte ou non#4

2) Click droit --> Executer en tant qu'administrateur sur OTMoveIt.exe pour le lancer. 
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 


C:\Users\utilisateur\AppData\Roaming­\GigaTribe
C:\Users\utilisateur\AppData\Roaming\Simply Super Software
C:\ProgramData\Simply Super Software
C:\ProgramData\GigaTribe
C:\Program Files\GamesBar 

clique sur MoveIt! pour lancer la suppression. 
Le résultat apparaitra dans le cadre "Results". 
Clique sur Exit pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
Il est possible que ton ordinateur redémarre pour supprimer les fichiers. 

3) Ouvre Hijackthis ( click droit ... )
Choisis Open the Misc Option tools. Dans l'onglet, choisi Open Hosts files manager.
Supprime toutes les lignes autres que 127.0.0.1
Sélectionne la ligne puis delete lines(s)
Tu devrais trouver au moins ces lignes

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com 

4) Tu ne m'as pas répondu pour le lecteur J:. Vu que tu as utilisé un back-up pour restaurer le PC, il est possible qu'il faille repasser RAV .

A+

morbake · Answer

1) la case est décochée

2) le lecteur j c'est le lecteur de dvd/cd

3) rapport 

File/Folder C:\Users\utilisateur\AppData\Roaming­\GigaTribe not found.
C:\Users\utilisateur\AppData\Roaming\Simply Super Software\Trojan Remover moved successfully.
C:\Users\utilisateur\AppData\Roaming\Simply Super Software moved successfully.
C:\ProgramData\Simply Super Software\Trojan Remover\Data moved successfully.
C:\ProgramData\Simply Super Software\Trojan Remover moved successfully.
C:\ProgramData\Simply Super Software moved successfully.
File/Folder C:\ProgramData\GigaTribe not found.
C:\Program Files\GamesBar moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08042008_204033

morbake · Answer

dans hijack this

une seule ligne

127.0.0.1 localhost

je n'ai rien deleté du tout...

verni29 · Answer

1) Il vaut mieux par précaution repasser RAV.

Important : Si tu as une ou plusieurs clés USB, un disque externe, ...., branche-les sans les ouvrir avant de lancer ce logiciel.

Fais un clic droit sur le fichier RAV.zip --> Extraire sur --> Bureau
Click droit sur RAV.exe et choisis Exécuter en tant qu'administrateur pour lancer l'outil.

Une fois RAV ANTIVIRUS lancé, laisse le travailler.
Si il y a une infection, un rapport va s'afficher, sinon tu auras le message suivant : " Votre Ordinateur est sain " .

Retire la clé USB ou autre disque dur externe et redémarre l'ordinateur.
Poste le rapport si il y a une infection. 

2) tu télécharge smitfraudfix : 

En image : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php 

tu double clique sur smitfraudfix.cmd et tu choisi l' option 1 
Un  rapport sera crée. 
Copie/colle le rapport dans ton prochain message.

3) Pour les protections de ton ordinateur, WIndows defender et SpywareTerminator se marchent sur les pieds.
Désactive Windows defender.

Bouton demarrer --> Tous les programmes --> Windows defender
menu outils --> Options --> decocher decocher "Utiliser la protection en temps réel"

4) Tu me postes un dernier rapport Hijackthis.

A+

morbake · Answer

1) rien de détecté sur les 3 clés usb
pc redémarré

2) windows defender case décochée

3) rapport smitfraudfix

SmitFraudFix v2.333

Scan done at 21:29:27.21, 2008-08-04
Run from C:\Users\utilisateur\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\mobsync.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\utilisateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\utilisateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\UTILIS~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Connexion réseau Intel(R) PRO/100
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{BDB9E1D3-5913-4005-BC8B-9EE055F4754A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{BDB9E1D3-5913-4005-BC8B-9EE055F4754A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{BDB9E1D3-5913-4005-BC8B-9EE055F4754A}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

4) rapport hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:42, on 2008-08-04
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.Exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\System32\mobsync.exe
C:\hp\kbd\kbd.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\utilisateur\Desktop\virus\utilisateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60327
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [Launcher] %WINDIR%\SMINST\launcher.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O13 - Gopher Prefix: 
O23 - Service: Intel(R) Alert Service (AlertService) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\CCU\AlertService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: DQLWinService - Unknown owner - C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Intel DH Service (IntelDHSvcConf) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe
O23 - Service: Intel(R) Software Services Manager (ISSM) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Intel(R) Viiv(TM) Media Server (M1 Server) - Unknown owner - C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe
O23 - Service: Intel(R) Application Tracker (MCLServiceATL) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Intel(R) Remoting Service (Remote UI Service) - Intel(R) Corporation - C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - Unknown owner - C:\Program Files\Spyware Doctor\svcntaux.exe (file missing)
O23 - Service: Spyware Doctor Service (sdCoreService) - Unknown owner - C:\Program Files\Spyware Doctor\swdsvc.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

verni29 · Answer

Une dernière vérification : scan antivirus en ligne

Tu vas sur le site de Kaspersky:
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Clique sur Demarrer Online-scanner ( en bas de page à droite ) pour commencer l'analyse.
Il te sera demandé d'installer un logiciel de Kaspersky, accepte.

A la fin de cette analyse, clique sur enregistrer le rapport.
Poste le contenu de ce rapport dans ton prochain message.

Comment se comporte le PC ?

A+

morbake · Answer

impossible de lancer le scan online, quand je clique sur accepter, ça ouvre une fentre publicitaire du web (la camif, rue du commerce...) et rien d'autre ne se passe.

sinon le pc va super bien, il est beaucoup plus rapide a l'ouverture des différents logiciels (word, photos et autres)...


suite à la lecture du forum, je pense désinstaller avast pour mettre antivir a la place quant penses tu ?

ça ferait, zone alarm, spyware terminator, et antivir.

morbake · Answer

je suis un peu perdu car :

lorsque je clicque sur un racourci sur le bureau pour lancer un logiciel il me demande l'autorisation...uac est désactivé dans le compte utilisateur comme tu me l'a demandé.

bitdefender me demande de passer par IE,( j'ai IE 7) je lance donc IE (je préfére firefox) , et après il me dit de désactiver les activeX ...c'est fait, mais ça ne passe pas quant meme.

peut etre l'histoire de uac...

verni29 · Answer

On recommence pour Kaspersky 

1) vérifie pour l'UAC si elle ne s'est pas réinitialisée.

2) Pour firefox : 

Ouvre Firefox --> OUtils --> OPtions

- onglet contenu -> décoche " boquer les fenêtres pop-up "
- onglet sécurité --> décoche "me prévenir lorsque des applications ..... "

Ressaie.

2) Si tu n'y arrives pas,
 sous IE :

Démarrer --> Panneau de configuration --> Options Internet

- onglet Sécurité --> personnaliser le niveau --> Paramètres de sécurité
     " Contrôles ActiveX reconnus sûrs pour l'écriture de scripts " : activé
     " Contrôles d'initialisation et de scripts ActiveX non-marqués comme sécurisés " : désactivé
     "   Exécuter les contrôles ActiveX et les plugins " : activé
    " Télécharger les contrôles ActiveX non signés " : desactivé
    " Télécharger les contrôles ActiveX signés " : demander

Sinon, je te mets un tuto pour Bitdefender.
https://forum.pcastuces.com/default.asp

A+

morbake · Answer

ça fait deux heures que j'essaye de scanner ...impossible que ce soit par karpersky ou bitdefender.

même avec le tuto, j'ai toujours un pb d'activeX...

il y a des lignes de commandes (activé ou désactivé) que je ne trouve pas...les deux premières lignes et j'ai pourtant regarder en modifiant (la qualité de la protection) haute/moyenne/basse...bref rien à faire

je sature un peu là...

je vais prendre un café...


sinon tu as pas un lien qui traine pour antivir ? quand j'en trouve un il est payant par téléphone

morbake · Answer

avast désinstallé, pc relancé, antivir installé.

verni29 · Answer

On va essayer un autre scan en ligne :

-Panda-
https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/a ... ncipal.htm

-Symantec-
http://security.symantec.com/sscv6/defa ... &venid=sym 

-HouseCall Trend Micro-
https://www.trendmicro.com/fr_fr/business.html 

A+

morbake · Answer

panda en cours, j'ai du accepté pas mal de modif du registre (selon spyware terminator) pour que panda s'install et se lance



 files infected 2.

stoppé à 14% ...

car ouverture fenetre antivir guard

a virus or unwanted program was found

c:\programData\HOLE MATCH TICK\qlqeezly.exe
is the TR/Dlr.Swizzor.Gen Trojan

puis 5 cases à cocher au choix

move to quarantine
delete
rename
deny access
ignore

je fais quoi ?

verni29 · Answer

delete

morbake · Answer

rebelote...


C:\programData\Spybot - Search & Destroy\..\WinBaglehi.zip

Contains suspicious code Gen/PwdZIP


quarantaine
deny access
ignore

?

verni29 · Answer

On peut faire confiance au scan en ligne.
Si il détecte des fichiers corrompus, supprime les.

A+

morbake · Answer

désolé d'avoir été si long maius j'ai fait une fausse manip (j'ai fermé la fenetre quand c'était fin) et j'ai du recommencé


résultat (pas bon)

treats disfinfected whit the paid version (17)
medium danger level 1
low danger level 16

suspicious files 6

pendant l'analyse il disait 42 fields infected

verni29 · Answer

Il a déjà nettoyé une fois, donc il y a beaucoup moins de fichiers infectés la seconde fois.
As-tu enregistré un rapport ?

morbake · Answer

je ne pense pas qu'il ait supprimé quoique ce soit, car panda me dit que si je veux les supprimer il faut payer...

nan je n'ai pas de rapport, car panda ne m'en a pas fournit.

je viens de lancer un scan avira antivir

morbake · Answer

rapport panda

;***********************************************************************************************************************************************************************************
ANALYSIS: 2008-08-05 20:06:53
PROTECTIONS: 1
MALWARE: 17
SUSPECTS: 6
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Windows Defender                             1.1.3806.0                    No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139061  Cookie/Doubleclick                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\utilisateur@doubleclick[1].txt
00139064  Cookie/Atlas DMT                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\utilisateur@atdmt[1].txt
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Users\utilisateur\Desktop\SmitfraudFix\Process.exe
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Windows\System32\Process.exe
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Toolbar SD\Process.exe
00139535  Application/Processor              HackTools           No        0         No             No           C:\Users\utilisateur\Desktop\virus\VirtumundoBeGone.exe[²ƒÇ]
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Lop SD\Process.exe
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.247realmedia.com/]
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.247realmedia.com/]
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.247realmedia.com/]
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.247realmedia.com/]
00145405  Cookie/RealMedia                   TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.247realmedia.com/]
00167642  Cookie/Com.com                     TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.com.com/]
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\utilisateur@xiti[1].txt
00167704  Cookie/Xiti                        TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.xiti.com/]
00167749  Cookie/Toplist                     TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\Low\utilisateur@toplist[1].txt
00167749  Cookie/Toplist                     TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.toplist.cz/]
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.weborama.fr/]
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.weborama.fr/]
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\Low\utilisateur@weborama[1].txt
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.weborama.fr/]
00168106  Cookie/Weborama                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.weborama.fr/]
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Cookies\utilisateur@adtech[1].txt
00168109  Cookie/Adtech                      TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.adtech.de/]
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[fl01.ct2.comclick.com/]
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[fl01.ct2.comclick.com/]
00168116  Cookie/Comclick                    TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[fl01.ct2.comclick.com/]
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.advertising.com/]
00169190  Cookie/Advertising                 TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.advertising.com/]
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.smartadserver.com/]
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.smartadserver.com/]
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.smartadserver.com/]
00273339  Cookie/Smartadserver               TrackingCookie      No        0         Yes            No           C:\Users\utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\hc3ntrff.default\cookies.txt[.smartadserver.com/]
00366244  Application/NirCmd.A               HackTools           No        0         No             No           C:\Users\utilisateur\Desktop\virus\Flash_Disinfector.exe[nircmd.exe]
00519333  Application/Processor              HackTools           No        0         Yes            No           C:\Users\utilisateur\Desktop\virus\VirtumundoBeGone.exe
01185375  Application/Psexec.A               HackTools           No        0         Yes            No           C:\Windows\PSEXESVC.EXE
03445477  Adware/MalwareAlarm                Adware              No        1         Yes            No           C:\Windows\System32\IEDFix.exe
03445477  Adware/MalwareAlarm                Adware              No        1         Yes            No           C:\Users\utilisateur\Desktop\SmitfraudFix\IEDFix.exe
03445560  Adware/Lop                         Adware              No        0         Yes            No           C:\Program Files\BitTorrent Fastest Tool\BitDownload-4.5-setup.exe
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              &#65533;k&#65533;&#65533;&#65533;&#65533;js5
;===================================================================================================================================================================================
No        C:\$Recycle.Bin\S-1-5-21-4157885162-2316668312-3984447808-1001\$R4F5010.exe                                                                                                                                                                                                                                                                                                                                                                                                                                           &#65533;k&#65533;&#65533;&#65533;&#65533;js5
No        C:\QooBox\Quarantine\C\Windows\System32\gbdpelfb.dll.vir                                                                                                                                                                                                                                                                                                                                                                                                                                                              &#65533;k&#65533;&#65533;&#65533;&#65533;js5
No        C:\Users\utilisateur\Desktop\virus\ComboFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                       &#65533;k&#65533;&#65533;&#65533;&#65533;js5
No        C:\Users\utilisateur\Desktop\virus\SmitfraudFix.exe                                                                                                                                                                                                                                                                                                                                                                                                                                                                   &#65533;k&#65533;&#65533;&#65533;&#65533;js5
No        C:\Users\utilisateur\Desktop\vispa\vispa-0.1.2-bin.zip[vispa.exe]                                                                                                                                                                                                                                                                                                                                                                                                                                                     &#65533;k&#65533;&#65533;&#65533;&#65533;js5
No        C:\Users\utilisateur\Downloads\eMule\Incoming\TuneUp_Utilities_2008 keygen.zip[TU2008 Keymaker.exe]                                                                                                                                                                                                                                                                                                                                                                                                                   &#65533;k&#65533;&#65533;&#65533;&#65533;js5
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                &#65533;k&#65533;&#65533;&#65533;&#65533;js5
;===================================================================================================================================================================================
;===================================================================================================================================================================================

verni29 · Answer

1) 2 fichiers à supprimer avec OTMoveIT2

C:\Windows\PSEXESVC.EXE
C:\Program Files\BitTorrent Fastest Tool\BitDownload-4.5-setup.exe

Tu me postes le rapport.

2) On va enlever les logiciels qui ont été utilisés.
Télécharge ToolsCleaner .sur le bureau 
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe 
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression. 
Il est possible que ton bureau disparaisse. 

Si l’écran ne réapparait pas, tape sur les touches Ctrl + Alt + Supp. Ceci ouvre le gestionnaire de taches. 
Dans l’onglet Processus, clique sur le menu Fichier, puis Executer et tape Explorer. Valide. 

3) Tu vas utiliser CCleaner. 
https://www.commentcamarche.net/telecharger/ 168 ccleaner 

utilise les fonctions nettoyeur et registre. 

4) Les points de restauration : 

- Panneau de configuation --> Système --> Restauration du sytème 
cocher " Désactiver la restauration .... " 
Ceci va supprimer les points de restauration existants et infectés 

- Tu vas recréer un point de restauration propre. 
Pour recréer un point de restauration : 
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système 
Choisis "Créer un point de restauration". Suis les invites. 

A+

morbake · Answer

move it fait
 
copie de la case result

C:\Windows\PSEXESVC.EXE moved successfully.
C:\Program Files\BitTorrent Fastest Tool\BitDownload-4.5-setup.exe moved successfully.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08052008_203642

je fais le reste et te tiens au courant

morbake · Answer

tools cleaner 2

recherche a donné

C:\Lop SD: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Lop S&D: trouvé !
C:\Users\utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lop S&D: trouvé !
C:\Users\utilisateur\Desktop\SmitFraudfix: trouvé !
C:\Users\utilisateur\Desktop\virus\Dss.exe: trouvé !
C:\Users\utilisateur\Desktop\virus\Lop S&D.lnk: trouvé !
C:\Users\utilisateur\Desktop\virus\LopSD.exe: trouvé !
C:\Users\utilisateur\Desktop\virus\VirtumundoBeGone.exe: trouvé !
C:\Users\utilisateur\Desktop\virus\ComboFix.exe: trouvé !
C:\Users\utilisateur\Desktop\virus\SmitFraudFix.exe: trouvé !

je fais la suppression

morbake · Answer

le lien est mort pour ccleaner...

verni29 · Answer

Oups,

http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

morbake · Answer

CCleaner 

nettoyeur
analyse faite...beurkkk....je fais lancer le nettyage ?

registre
pleins d'erreurs....je fais réparer les erreurs ?

verni29 · Answer

analyse faite...beurkkk. Lol
Ca veut dire quoi ??

Oui, tu nettoies toutes les erreurs.

verni29 · Answer

J'ai bien reçu ton message pour le nettoyage avec CCleaner.

On y presque.

morbake · Answer

j'ai tout nettoyer comme demandé par ccleaner et fais un point de restauration pc propre

verni29 · Answer

S tout est OK et si tu n'as pas d'autres questions.
Tu peux poster un message sur la discussion en cas de problème.

Enchanté de t'avoir rendu service.

Salut.

morbake · Answer

un grand, grand merci a toi, pour ta compétence et ta disponibilité.

Infecté ou non ?

72 réponses

Votre réponse

Discussions similaires

Newsletters