Antivirus xp 2008

Résolu

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention -
sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention - 18 août 2008 à 08:28

Bonjour,
je me suis fais infecter par antivirus xp 2008
ensuite j'ai telecharger hijackthis et voici le rapport peut-on m'aider ?!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:35:10, on 01/01/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pack Securite\Common\FSMB32.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_service.exe
C:\Program Files\Pack Securite\Common\FCH32.EXE
C:\Program Files\Pack Securite\Common\FAMEH32.EXE
C:\Program Files\Pack Securite\FSPC\fspc.exe
C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Pack Securite\Common\FSM32.EXE
C:\Program Files\rhc9lnj0en5t\rhc9lnj0en5t.exe
C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E8BC373F-1046-4A94-ADC5-C50DA588DF89} - C:\WINDOWS\system32\blackbo.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SMrhc9lnj0en5t] C:\Program Files\rhc9lnj0en5t\rhc9lnj0en5t.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKLM\..\Policies\Explorer\Run: [FcGR18Jg97] C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_service.exe

Afficher la suite

A voir également:

Antivirus xp 2008
Cle windows xp - Guide
Comodo antivirus - Télécharger - Sécurité
Norton antivirus gratuit - Télécharger - Antivirus & Antimalwares
Panda antivirus - Télécharger - Antivirus & Antimalwares
Telecharger windows xp - Télécharger - Systèmes d'exploitation

24 réponses

Réponse 1 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut,

plusieurs infections ...

Commences par ce-ci :

Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Double clik sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, click le raccourci pour lancer le prg .

Là,laisses toi guider:
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) sans notre accord ! ).

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

Réponse 2 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

j'ai un autre petit probleme un peu bete mais je tape 1 et entré pour valider mais ca ne marche pas (ah si dsl) mais est-ce que un jeux video peut me l'avoir donner le virus

Réponse 3 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

laisses tomber pour le momment ...

Il y a un autre soucis à régler en premier :

tu as 2 antivirus actifs sur ton PC ( Avast et F-Secure ) : c'est 1 de trop !
--> instabilité du système + ralentissement + grosse faille de sécurité ...

Donc avant d'attaqué la désinfection , il faut absolument en désinstaller un ! Fais ton choix ...

Pour ce faire :

1- Désinstaller proprement Avast :
Suis cette astuce : http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

note : pour une efficacité totale , il faut impérativement lancer l'.exe en mode sans échec .

Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les instructions...)

--> une fois terminé , redémarre ton PC ( = retour au mode normal )

2- pour désinstaller proprement F-Sécure :

En mode sans échec aussi !

Cliquez sur "Démarrer", puis sur "Panneau de configuration" :
--> double-cliquez sur "Ajout/Suppression de programmes."
Faites défiler la liste jusqu'au programme F-Secure Internet Security 2008 et cliquez sur "Modifier/Supprimer." pour lancer la désinstalle ... puis laisses toi guidé ...

Lorsque le système vous y invite, redémarrez l'ordinateur (=retour mode normal ).

--> une fois ton choix fait et la manipe de désintalle faite , postes moi un nouveau rapport Hijackthis pour analyse et attends la suite ...

Réponse 4 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

--------------------\\ Lop S&D 4.2.2-6 XP/Vista

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : enfants et eric ] [ "C:\Lop SD" ] [ Selection : 1 ]
[ 01/01/2002 | 1:18:03,89 ] [ PC : PC ]
[ MAJ : 09-08-2008 | 21:15 ]

--------------------\\ Listing des dossiers dans APPLIC~1

[02/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[11/05/2008|08:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[10/08/2008|10:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\apsvqruj
[02/04/2008|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[31/03/2008|23:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[30/04/2008|09:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[21/07/2008|08:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\LauncherAccess.dt
[14/07/2008|15:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[01/01/2002|01:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[01/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[31/03/2008|23:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[31/03/2008|23:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[07/04/2008|20:01] C:\DOCUME~1\ENFANT~1\APPLIC~1\Adobe
[14/07/2008|15:38] C:\DOCUME~1\ENFANT~1\APPLIC~1\AdobeUM
[17/04/2008|16:59] C:\DOCUME~1\ENFANT~1\APPLIC~1\Apple Computer
[31/03/2008|23:08] C:\DOCUME~1\ENFANT~1\APPLIC~1\desktop.ini
[06/04/2008|07:40] C:\DOCUME~1\ENFANT~1\APPLIC~1\DivX
[07/05/2008|14:56] C:\DOCUME~1\ENFANT~1\APPLIC~1\F-Secure
[29/04/2008|11:26] C:\DOCUME~1\ENFANT~1\APPLIC~1\Google
[04/04/2008|16:43] C:\DOCUME~1\ENFANT~1\APPLIC~1\Identities
[04/04/2008|16:48] C:\DOCUME~1\ENFANT~1\APPLIC~1\Macromedia
[10/08/2008|10:33] C:\DOCUME~1\ENFANT~1\APPLIC~1\Microsoft
[31/12/2001|23:29] C:\DOCUME~1\ENFANT~1\APPLIC~1\PC Tools
[10/08/2008|10:42] C:\DOCUME~1\ENFANT~1\APPLIC~1\rhc9lnj0en5t
[20/07/2008|18:57] C:\DOCUME~1\ENFANT~1\APPLIC~1\Samsung
[15/05/2008|13:22] C:\DOCUME~1\ENFANT~1\APPLIC~1\vlc
[15/05/2008|12:23] C:\DOCUME~1\ENFANT~1\APPLIC~1\WinRAR

[21/07/2008|08:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
[02/04/2008|22:09] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[31/03/2008|23:29] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[31/12/2001 23:11][--ah-----] C:\WINDOWS\tasks\SA.DAT
[30/08/2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[02/04/2008|21:58] C:\Program Files\Adobe
[02/04/2008|21:56] C:\Program Files\Ahead
[02/04/2008|21:51] C:\Program Files\Alwil Software
[10/08/2008|10:53] C:\Program Files\AxBx
[31/03/2008|23:21] C:\Program Files\ComPlus Applications
[02/04/2008|21:58] C:\Program Files\CyberLink
[25/05/2008|14:58] C:\Program Files\directx
[02/04/2008|22:02] C:\Program Files\DivX
[01/01/2002|00:46] C:\Program Files\eMule
[18/04/2008|08:58] C:\Program Files\Fichiers communs
[28/06/2008|12:13] C:\Program Files\Firefly Studios
[02/07/2008|13:47] C:\Program Files\GameSpy Arcade
[30/04/2008|17:51] C:\Program Files\Google
[03/08/2008|18:29] C:\Program Files\GUILD WARS
[20/07/2008|18:53] C:\Program Files\InstallShield Installation Information
[09/04/2008|15:08] C:\Program Files\Internet Explorer
[23/06/2008|17:41] C:\Program Files\Lexmark X1100 Series
[05/04/2008|18:37] C:\Program Files\Messenger
[02/04/2008|21:03] C:\Program Files\Microsoft Digital Image 10
[31/03/2008|23:25] C:\Program Files\microsoft frontpage
[02/04/2008|20:38] C:\Program Files\Microsoft Office
[02/04/2008|20:38] C:\Program Files\Microsoft Visual Studio
[02/04/2008|20:38] C:\Program Files\Microsoft Works
[02/04/2008|20:37] C:\Program Files\Microsoft.NET
[01/04/2008|06:48] C:\Program Files\Movie Maker
[02/04/2008|06:18] C:\Program Files\MSBuild
[31/03/2008|23:21] C:\Program Files\MSN
[31/03/2008|23:21] C:\Program Files\MSN Gaming Zone
[05/04/2008|18:37] C:\Program Files\MSN Messenger
[08/04/2008|17:59] C:\Program Files\MSXML 6.0
[01/04/2008|06:46] C:\Program Files\NetMeeting
[01/04/2008|21:48] C:\Program Files\NVIDIA Corporation
[10/08/2008|10:42] C:\Program Files\ossngzf
[01/04/2008|22:25] C:\Program Files\Outlook Express
[06/04/2008|16:25] C:\Program Files\Pack Securite
[02/04/2008|06:12] C:\Program Files\Reference Assemblies
[01/01/2002|00:03] C:\Program Files\rhc9lnj0en5t
[20/07/2008|18:35] C:\Program Files\Samsung
[31/03/2008|23:23] C:\Program Files\Services en ligne
[01/01/2002|00:26] C:\Program Files\Spyware Doctor
[10/08/2008|10:26] C:\Program Files\THQ
[01/01/2002|00:34] C:\Program Files\Trend Micro
[01/04/2008|06:11] C:\Program Files\Uninstall Information
[15/05/2008|13:20] C:\Program Files\VideoLAN
[02/04/2008|06:03] C:\Program Files\Windows Media Connect 2
[02/04/2008|06:03] C:\Program Files\Windows Media Player
[01/04/2008|06:46] C:\Program Files\Windows NT
[31/03/2008|23:21] C:\Program Files\WindowsUpdate
[15/05/2008|12:22] C:\Program Files\WinRAR
[31/03/2008|23:25] C:\Program Files\xerox
[04/04/2008|09:17] C:\Program Files\XviD

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[02/04/2008|22:01] C:\Program Files\Fichiers communs\Adobe
[02/04/2008|21:55] C:\Program Files\Fichiers communs\Ahead
[02/04/2008|20:38] C:\Program Files\Fichiers communs\DESIGNER
[01/04/2008|21:37] C:\Program Files\Fichiers communs\InstallShield
[31/12/2001|23:56] C:\Program Files\Fichiers communs\Microsoft Shared
[31/03/2008|23:22] C:\Program Files\Fichiers communs\MSSoap
[01/04/2008|21:48] C:\Program Files\Fichiers communs\NVIDIA Shared
[31/03/2008|23:08] C:\Program Files\Fichiers communs\ODBC
[31/03/2008|23:22] C:\Program Files\Fichiers communs\Services
[31/03/2008|23:08] C:\Program Files\Fichiers communs\SpeechEngines
[02/04/2008|20:38] C:\Program Files\Fichiers communs\System

--------------------\\ Process

( 42 Processus )

iexplore.exe ~ [3056]

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertstream[2].txt
C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertising[2].txt
C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@partypoker[2].txt

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2002-01-01 01:21:56
Windows 5.1.2600 Service Pack 2 NTFS
detected NTDLL code modification:
ZwClose
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

=> C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@www.inthecrack[2].txt

[F:1440][D:193]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\Temp
[F:488][D:0]-> C:\DOCUME~1\ENFANT~1\Cookies
[F:11458][D:24]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\TEMPOR~1\content.IE5

--------------------\\ Fin du rapport a 1:27:58,40

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Re,

fais ce-ci d'abors : http://www.commentcamarche.net/forum/affich 7860933 antivirus xp 2008#3

Réponse 6 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

la j'ai encore un probleme avec hijackthis il ne demarre pas et ne se desinstalle pas non plus (meme en mode sans echec)

Réponse 7 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

laisse tomber hijackthis pour le momment et fais ce-ci :

! déconnectes toi et fermes toutes applications en cours !

Relances Lop S&D :

--->choisis l'option 3 (recherche) et valides.

Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse ...

Dis moi aussi au passage quel AV tu as désinstallé ....

Réponse 8 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

--------------------\\ Lop S&D 4.2.2-6 XP/Vista

[ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
[ USER : enfants et eric ] [ "C:\Lop SD" ] [ Selection : 3 ]
[ 01/01/2002 | 3:08:47,54 ] [ PC : PC ]
[ MAJ : 09-08-2008 | 21:15 ]

\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION /////////////////////////////

Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertstream[2].txt
Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertising[2].txt
Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@partypoker[2].txt

//////////////////////////////////////-\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\

--------------------\\ Listing des dossiers dans APPLIC~1

[02/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
[11/05/2008|08:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
[10/08/2008|10:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\apsvqruj
[02/04/2008|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
[31/03/2008|23:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
[06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
[06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
[30/04/2008|09:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
[21/07/2008|08:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\LauncherAccess.dt
[14/07/2008|15:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
[01/01/2002|01:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
[01/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

[31/03/2008|23:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
[31/03/2008|23:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

[07/04/2008|20:01] C:\DOCUME~1\ENFANT~1\APPLIC~1\Adobe
[14/07/2008|15:38] C:\DOCUME~1\ENFANT~1\APPLIC~1\AdobeUM
[17/04/2008|16:59] C:\DOCUME~1\ENFANT~1\APPLIC~1\Apple Computer
[31/03/2008|23:08] C:\DOCUME~1\ENFANT~1\APPLIC~1\desktop.ini
[06/04/2008|07:40] C:\DOCUME~1\ENFANT~1\APPLIC~1\DivX
[07/05/2008|14:56] C:\DOCUME~1\ENFANT~1\APPLIC~1\F-Secure
[29/04/2008|11:26] C:\DOCUME~1\ENFANT~1\APPLIC~1\Google
[04/04/2008|16:43] C:\DOCUME~1\ENFANT~1\APPLIC~1\Identities
[04/04/2008|16:48] C:\DOCUME~1\ENFANT~1\APPLIC~1\Macromedia
[10/08/2008|10:33] C:\DOCUME~1\ENFANT~1\APPLIC~1\Microsoft
[10/08/2008|10:42] C:\DOCUME~1\ENFANT~1\APPLIC~1\rhc9lnj0en5t
[20/07/2008|18:57] C:\DOCUME~1\ENFANT~1\APPLIC~1\Samsung
[15/05/2008|13:22] C:\DOCUME~1\ENFANT~1\APPLIC~1\vlc
[15/05/2008|12:23] C:\DOCUME~1\ENFANT~1\APPLIC~1\WinRAR

[21/07/2008|08:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
[02/04/2008|22:09] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

[31/03/2008|23:29] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

--------------------\\ Tâches planifiées dans C:\WINDOWS\tasks

[01/01/2002 02:06][--ah-----] C:\WINDOWS\tasks\SA.DAT
[30/08/2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Listing des dossiers dans C:\Program Files

[02/04/2008|21:58] C:\Program Files\Adobe
[02/04/2008|21:56] C:\Program Files\Ahead
[02/04/2008|21:51] C:\Program Files\Alwil Software
[31/03/2008|23:21] C:\Program Files\ComPlus Applications
[02/04/2008|21:58] C:\Program Files\CyberLink
[25/05/2008|14:58] C:\Program Files\directx
[02/04/2008|22:02] C:\Program Files\DivX
[01/01/2002|00:46] C:\Program Files\eMule
[18/04/2008|08:58] C:\Program Files\Fichiers communs
[28/06/2008|12:13] C:\Program Files\Firefly Studios
[02/07/2008|13:47] C:\Program Files\GameSpy Arcade
[30/04/2008|17:51] C:\Program Files\Google
[03/08/2008|18:29] C:\Program Files\GUILD WARS
[20/07/2008|18:53] C:\Program Files\InstallShield Installation Information
[09/04/2008|15:08] C:\Program Files\Internet Explorer
[23/06/2008|17:41] C:\Program Files\Lexmark X1100 Series
[05/04/2008|18:37] C:\Program Files\Messenger
[02/04/2008|21:03] C:\Program Files\Microsoft Digital Image 10
[31/03/2008|23:25] C:\Program Files\microsoft frontpage
[02/04/2008|20:38] C:\Program Files\Microsoft Office
[02/04/2008|20:38] C:\Program Files\Microsoft Visual Studio
[02/04/2008|20:38] C:\Program Files\Microsoft Works
[02/04/2008|20:37] C:\Program Files\Microsoft.NET
[01/04/2008|06:48] C:\Program Files\Movie Maker
[02/04/2008|06:18] C:\Program Files\MSBuild
[31/03/2008|23:21] C:\Program Files\MSN
[31/03/2008|23:21] C:\Program Files\MSN Gaming Zone
[05/04/2008|18:37] C:\Program Files\MSN Messenger
[08/04/2008|17:59] C:\Program Files\MSXML 6.0
[01/04/2008|06:46] C:\Program Files\NetMeeting
[01/04/2008|21:48] C:\Program Files\NVIDIA Corporation
[10/08/2008|10:42] C:\Program Files\ossngzf
[01/04/2008|22:25] C:\Program Files\Outlook Express
[01/01/2002|01:57] C:\Program Files\Pack Securite
[02/04/2008|06:12] C:\Program Files\Reference Assemblies
[01/01/2002|00:03] C:\Program Files\rhc9lnj0en5t
[20/07/2008|18:35] C:\Program Files\Samsung
[31/03/2008|23:23] C:\Program Files\Services en ligne
[10/08/2008|10:26] C:\Program Files\THQ
[01/01/2002|00:34] C:\Program Files\Trend Micro
[01/04/2008|06:11] C:\Program Files\Uninstall Information
[15/05/2008|13:20] C:\Program Files\VideoLAN
[02/04/2008|06:03] C:\Program Files\Windows Media Connect 2
[02/04/2008|06:03] C:\Program Files\Windows Media Player
[01/04/2008|06:46] C:\Program Files\Windows NT
[31/03/2008|23:21] C:\Program Files\WindowsUpdate
[15/05/2008|12:22] C:\Program Files\WinRAR
[31/03/2008|23:25] C:\Program Files\xerox
[04/04/2008|09:17] C:\Program Files\XviD

--------------------\\ Listing des dossiers dans C:\Program Files\Fichiers communs

[02/04/2008|22:01] C:\Program Files\Fichiers communs\Adobe
[02/04/2008|21:55] C:\Program Files\Fichiers communs\Ahead
[02/04/2008|20:38] C:\Program Files\Fichiers communs\DESIGNER
[01/04/2008|21:37] C:\Program Files\Fichiers communs\InstallShield
[31/12/2001|23:56] C:\Program Files\Fichiers communs\Microsoft Shared
[31/03/2008|23:22] C:\Program Files\Fichiers communs\MSSoap
[01/04/2008|21:48] C:\Program Files\Fichiers communs\NVIDIA Shared
[31/03/2008|23:08] C:\Program Files\Fichiers communs\ODBC
[31/03/2008|23:22] C:\Program Files\Fichiers communs\Services
[31/03/2008|23:08] C:\Program Files\Fichiers communs\SpeechEngines
[02/04/2008|20:38] C:\Program Files\Fichiers communs\System

--------------------\\ Process

( 30 Processus )

... OK !

--------------------\\ Recherche avec S_Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Recherche de Fichiers / Dossiers Lop

Aucun fichier / dossier Lop trouvé !

--------------------\\ Verification du Registre

..... OK !

--------------------\\ Verification du fichier Hosts

Fichier Hosts PROPRE

--------------------\\ Recherche de fichiers avec Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2002-01-01 03:10:11
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

=> C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@www.inthecrack[2].txt

[F:1444][D:192]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\Temp
[F:507][D:0]-> C:\DOCUME~1\ENFANT~1\Cookies
[F:17681][D:28]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\TEMPOR~1\content.IE5

--------------------\\ Fin du rapport a 3:11:56,25

je ne peut pas desinstaller avast a cause d'une ancienne restauration systeme qui a foirer donc je pense avoir supprimer les autres antivirus

Réponse 9 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

je ne peut pas desinstaller avast a cause d'une ancienne restauration systeme qui a foirer donc je pense avoir supprimer les autres antivirus
--> je ne t'ai jamais demander de supprimé tout tes antivirus ! Mais d'en guarder qu' un seul ... :-/

Soit ,

Fais ce-ci maitenant :

Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ), celui-ci devrai fonctionner maintenant ...

Réponse 10 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

voici les rapports des deux analyses :

malwarebytes:
Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1045
Windows 5.1.2600 Service Pack 2

18:22:37 01/08/2008
mbam-log-8-1-2008 (18-22-37).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 136620
Temps écoulé: 1 hour(s), 7 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 28
Valeur(s) du Registre infectée(s): 14
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 14
Fichier(s) infecté(s): 65

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e8bc373f-1046-4a94-adc5-c50da588df89} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\buritos (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\rhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Data\rhc9lnj0en5t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\enfants et eric\Local Settings\Temporary Internet Files\Content.IE5\79LUKAME\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{897DE904-BC60-4807-A4F0-118A482B184C}\RP100\A0027735.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Files\rhc9lnj0en5t\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhc9lnj0en5t\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhc9lnj0en5t\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\rhc9lnj0en5t\rhc9lnj0en5t.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\buritos.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcclnj0en5t.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcclnj0en5t.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackbo.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:40, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cjibadez.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKCU\..\Run: [strgen] C:\WINDOWS\system32\mdshixkf.exe
O4 - HKLM\..\Policies\Explorer\Run: [FcGR18Jg97] C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: karina.dat
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Réponse 11 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Bien Malwarebytes à bien bosser mais il reste encore pas mal de boulot :-/

1- Supprimes tout ce qui se trouve dans la quarantaine de malwarebytes ( via celle-ci bien sûr )

2- Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

3- souligne>Télécharges Navilog1 sur ton bureau </souligne>:

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnectes toi,désactives tes défences( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !!

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisses-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***

Appuies sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" )

TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

Réponse 12 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

Search Navipromo version 3.6.3 commencé le 01/08/2008 à 21:48:32,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "enfants et eric"

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 01/08/2008 à 21:55:22,07 ***

Réponse 13 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Rien ... bizard ...

fais ce-ci stp :

Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

--->Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,redémarres en mode sans échec .
Comment aller en Mode sans échec :
1) Redémarres ton ordi
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...)

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script.
--->Tapes Y pour lancer le script ...
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé .

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

Réponse 14 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

[b]SDFix: Version 1.215 [/b]
Run by enfants et eric on 01/08/2008 at 23:29

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
RXD17

[b]Path [/b]:
System32\Drivers\Rxd17.sys

RXD17 - Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service RXD17 - Deleted

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\10.tmp - Deleted
C:\WINDOWS\system32\11.tmp - Deleted
C:\WINDOWS\system32\12.tmp - Deleted
C:\WINDOWS\system32\13.tmp - Deleted
C:\WINDOWS\system32\14.tmp - Deleted
C:\WINDOWS\system32\15.tmp - Deleted
C:\WINDOWS\system32\16.tmp - Deleted
C:\WINDOWS\system32\17.tmp - Deleted
C:\WINDOWS\system32\drivers\RXD17.sys - Deleted

Removing Temp Files

[b]ADS Check [/b]:

[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 23:36:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\WINDOWS\\system32\\LEXPPS.EXE"="C:\\WINDOWS\\system32\\LEXPPS.EXE:*:Enabled:LEXPPS.EXE"
"C:\\WINDOWS\\system32\\dplaysvr.exe"="C:\\WINDOWS\\system32\\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"="C:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 23 May 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 2 Apr 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:06, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\mdshixkf.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKCU\..\Run: [strgen] C:\WINDOWS\system32\mdshixkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: karina.dat
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Réponse 15 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

très bien ...

de plus une nouvelle infection vient de ce montrer :p

1- refais un coup de CCleaner ( registre compris )

2- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Réponse 16 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 3:34:33.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.186 [GMT 2:00]
Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ati3d1a.dll
C:\WINDOWS\system32\B.tmp
C:\WINDOWS\system32\F.tmp

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-13 to 2008-08-13 ))))))))))))))))))))))))))))))))))))
.

2008-08-10 11:48 . 2008-08-10 11:48 86,016 --a------ C:\WINDOWS\system32\srmrodwt.exe
2008-08-10 11:42 . 2008-08-10 11:42 <REP> d-------- C:\Program Files\ossngzf
2008-08-10 11:42 . 2008-08-10 11:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\apsvqruj
2008-08-10 11:42 . 2008-08-10 11:42 86,016 --a------ C:\WINDOWS\system32\cjibadez.exe
2008-08-01 23:26 . 2008-08-01 23:26 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-01 23:21 . 2008-08-01 23:37 <REP> d----c--- C:\SDFix
2008-08-01 21:47 . 2008-08-01 21:56 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 19:21 . 2008-08-01 19:21 <REP> d-------- C:\Program Files\CCleaner
2008-08-01 19:00 . 2008-08-01 19:00 130,048 --a------ C:\WINDOWS\system32\nixqrwdm.exe
2008-08-01 18:25 . 2008-08-01 18:25 130,048 --a------ C:\WINDOWS\system32\kxgrevof.exe
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-21 09:50 . 2008-07-21 09:50 <REP> d-------- C:\Documents and Settings\LocalService\Bureau
2008-07-20 19:57 . 2008-07-20 19:57 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung
2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico
2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-07-20 19:35 . 2008-07-20 19:35 <REP> d-------- C:\Program Files\Samsung
2008-07-14 16:38 . 2008-07-14 16:38 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM
2008-07-14 16:15 . 2008-08-01 18:54 <REP> d-------- C:\Program Files\GUILD WARS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-10 09:26 --------- d-----w C:\Program Files\THQ
2008-08-01 16:54 --------- d-----w C:\Program Files\eMule
2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade
2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios
2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll
2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll
2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"DbProcApi"="C:\WINDOWS\system32\cjibadez.exe" [2008-08-10 11:42 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ProcDbCom"= {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll [2008-08-10 11:42 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
--a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AutoPlay.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-strgen - C:\WINDOWS\system32\mdshixkf.exe
MSConfigStartUp-QuickTime Task - C:\Program Files\QuickTime\QTTask.exe

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 03:39:54
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-13 3:44:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-13 01:44:28

Pre-Run: 27,171,270,656 octets libres
Post-Run: 27,112,570,880 octets libres

132 --- E O F --- 2008-04-10 10:14:41

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:45:09, on 13/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cjibadez.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Réponse 17 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Salut,

la suite :

A- Avoir accès aux fichiers cachés :

Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

B - 1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DbProcApi"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ProcDbCom"=-

File::
C:\Program Files\ossngzf\ProcDbCom.dll
C:\WINDOWS\system32\cjibadez.exe
C:\WINDOWS\system32\srmrodwt.exe
C:\WINDOWS\system32\nixqrwdm.exe
C:\WINDOWS\system32\kxgrevof.exe

DirLook::
C:\Program Files\ossngzf
C:\Documents and Settings\All Users\Application Data\apsvqruj

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 18 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 13:13:08.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.148 [GMT 2:00]
Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\enfants et eric\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Program Files\ossngzf\ProcDbCom.dll
C:\WINDOWS\system32\cjibadez.exe
C:\WINDOWS\system32\kxgrevof.exe
C:\WINDOWS\system32\nixqrwdm.exe
C:\WINDOWS\system32\srmrodwt.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\ossngzf\ProcDbCom.dll
C:\WINDOWS\system32\cjibadez.exe
C:\WINDOWS\system32\kxgrevof.exe
C:\WINDOWS\system32\nixqrwdm.exe
C:\WINDOWS\system32\srmrodwt.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-13 to 2008-08-13 ))))))))))))))))))))))))))))))))))))
.

2008-08-10 11:42 . 2008-08-13 13:13 <REP> d-------- C:\Program Files\ossngzf
2008-08-10 11:42 . 2008-08-10 11:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\apsvqruj
2008-08-01 23:26 . 2008-08-01 23:26 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-01 23:21 . 2008-08-01 23:37 <REP> d----c--- C:\SDFix
2008-08-01 21:47 . 2008-08-01 21:56 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 19:21 . 2008-08-01 19:21 <REP> d-------- C:\Program Files\CCleaner
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-21 09:50 . 2008-07-21 09:50 <REP> d-------- C:\Documents and Settings\LocalService\Bureau
2008-07-20 19:57 . 2008-07-20 19:57 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung
2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico
2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-07-20 19:35 . 2008-07-20 19:35 <REP> d-------- C:\Program Files\Samsung
2008-07-14 16:38 . 2008-07-14 16:38 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM
2008-07-14 16:15 . 2008-08-01 18:54 <REP> d-------- C:\Program Files\GUILD WARS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-10 09:26 --------- d-----w C:\Program Files\THQ
2008-08-01 16:54 --------- d-----w C:\Program Files\eMule
2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade
2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios
2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll
2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll
2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Documents and Settings\All Users\Application Data\apsvqruj ----

2008-08-10 11:42 61440 --a------ C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe

---- Directory of C:\Program Files\ossngzf ----

2008-08-10 11:42 114688 --a------ C:\Program Files\ossngzf\ProcDbCom.dll

((((((((((((((((((((((((((((( snapshot@2008-08-13_ 3.44.07.92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-13 09:08:57 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_578.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
--a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]
S2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AutoPlay.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 13:15:45
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-13 13:17:23
ComboFix-quarantined-files.txt 2008-08-13 11:17:16
ComboFix2.txt 2008-08-13 01:44:34

Pre-Run: 27,541,041,152 octets libres
Post-Run: 27,536,568,320 octets libres

119 --- E O F --- 2008-04-10 10:14:41

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:14, on 13/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Réponse 19 / 24

sKe69 Messages postés 21360 Date d'inscription Statut Contributeur sécurité Dernière intervention 463

Bien ...

-->supprimes le CFScript que tu as et on va en fair un autre ...

1-Crées un doc texte sur ton bureau :
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

File::
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe

Folder::
C:\Documents and Settings\All Users\Application Data\apsvqruj
C:\Program Files\ossngzf

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valides ...

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide.

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire.

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Réponse 20 / 24

damien1001 Messages postés 20 Date d'inscription Statut Membre Dernière intervention

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 16:03:03.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.160 [GMT 2:00]
Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe
Command switches used :: C:\Documents and Settings\enfants et eric\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\apsvqruj
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
C:\Program Files\ossngzf

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-13 to 2008-08-13 ))))))))))))))))))))))))))))))))))))
.

2008-08-01 23:26 . 2008-08-01 23:26 <REP> d-------- C:\WINDOWS\ERUNT
2008-08-01 23:21 . 2008-08-01 23:37 <REP> d----c--- C:\SDFix
2008-08-01 21:47 . 2008-08-01 21:56 <REP> d-------- C:\Program Files\Navilog1
2008-08-01 19:21 . 2008-08-01 19:21 <REP> d-------- C:\Program Files\CCleaner
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes
2008-08-01 16:42 . 2008-08-01 16:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-21 09:50 . 2008-07-21 09:50 <REP> d-------- C:\Documents and Settings\LocalService\Bureau
2008-07-20 19:57 . 2008-07-20 19:57 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung
2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico
2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2008-07-20 19:36 . 2008-07-20 19:36 <REP> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys
2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys
2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys
2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys
2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-07-20 19:35 . 2008-07-20 19:35 <REP> d-------- C:\Program Files\Samsung
2008-07-14 16:38 . 2008-07-14 16:38 <REP> d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM
2008-07-14 16:15 . 2008-08-01 18:54 <REP> d-------- C:\Program Files\GUILD WARS

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-10 09:26 --------- d-----w C:\Program Files\THQ
2008-08-01 16:54 --------- d-----w C:\Program Files\eMule
2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade
2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios
2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series
2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll
2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll
2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll
.

((((((((((((((((((((((((((((( snapshot@2008-08-13_ 3.44.07.92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-13 13:57:13 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_578.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray]
--a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\AutoPlay.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-13 16:05:33
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-08-13 16:07:05
ComboFix-quarantined-files.txt 2008-08-13 14:07:00
ComboFix2.txt 2008-08-13 11:17:24
ComboFix3.txt 2008-08-13 01:44:34

Pre-Run: 27,529,273,344 octets libres
Post-Run: 27,523,379,200 octets libres

105 --- E O F --- 2008-04-10 10:14:41

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:00, on 13/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

Discussions similaires

" Échec de l'analyse antivirus " la solution.

Google Chrome " Échec de l'analyse antivirus "

Votre réponse

Discussions similaires