antivirus xp 2008 Résolu

Question

Bonjour,
je me suis fais infecter par antivirus xp 2008
ensuite j'ai telecharger hijackthis et voici le rapport peut-on m'aider ?!


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:35:10, on 01/01/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Pack Securite\Common\FSMA32.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Pack Securite\Common\FSMB32.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_service.exe
C:\Program Files\Pack Securite\Common\FCH32.EXE
C:\Program Files\Pack Securite\Common\FAMEH32.EXE
C:\Program Files\Pack Securite\FSPC\fspc.exe
C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Pack Securite\FSAUA\program\fsus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Pack Securite\Common\FSM32.EXE
C:\Program Files\rhc9lnj0en5t\rhc9lnj0en5t.exe
C:\Program Files\Pack Securite\FSGUI\fsguidll.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {E8BC373F-1046-4A94-ADC5-C50DA588DF89} - C:\WINDOWS\system32\blackbo.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Pack Securite\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [SMrhc9lnj0en5t] C:\Program Files\rhc9lnj0en5t\rhc9lnj0en5t.exe
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKLM\..\Policies\Explorer\Run: [FcGR18Jg97] C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Parental... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\Pack Securite\FSPC\fspcmsie.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Pack Securite\Common\FSMA32.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2008 Pro Evaluation\vk_service.exe

sKe69 · Answer

Salut,

plusieurs infections ...

Commences par ce-ci :

 Télécharges Lop S&D :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

Double clik sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

Une fois l'installation faite, click le raccourci pour lancer le prg . 

Là,laisses toi guider: 
--->choisis l'option 1 (recherche) et valides.

(Tu ne fais pas l'option de nettoyage ( 2 ou 3) sans notre accord !  ).
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse .

Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

damien1001 · Answer

j'ai un autre petit probleme un peu bete mais je tape 1 et entré pour valider mais ca ne marche pas (ah si dsl) mais est-ce que un jeux video peut me l'avoir donner le virus

sKe69 · Answer

laisses tomber pour le momment ...

Il y a un autre soucis à régler en premier :

tu as 2 antivirus actifs sur ton PC ( Avast et F-Secure ) : c'est 1 de trop !
--> instabilité du système + ralentissement + grosse faille de sécurité ...

Donc avant d'attaqué la désinfection , il faut absolument en désinstaller un ! Fais ton choix ...

Pour ce faire :

1- Désinstaller proprement Avast :
Suis cette astuce : http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

note : pour une efficacité totale , il faut impérativement lancer l'.exe en mode sans échec .

Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les instructions...)

--> une fois terminé , redémarre ton PC ( = retour au mode normal )

2- pour désinstaller proprement F-Sécure : 

En mode sans échec aussi !

Cliquez sur "Démarrer", puis sur "Panneau de configuration" :
--> double-cliquez sur "Ajout/Suppression de programmes." 
Faites défiler la liste jusqu'au programme F-Secure Internet Security 2008 et cliquez sur "Modifier/Supprimer." pour lancer la désinstalle ... puis laisses toi guidé ... 

Lorsque le système vous y invite, redémarrez l'ordinateur (=retour mode normal ).



--> une fois ton choix fait et la manipe de désintalle faite , postes moi un nouveau rapport Hijackthis pour analyse et attends la suite ...

damien1001 · Answer

--------------------\  Lop S&D 4.2.2-6  XP/Vista

   [ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
   [ USER : enfants et eric ] [ "C:\Lop SD" ] [ Selection : 1 ]
   [ 01/01/2002 |  1:18:03,89 ] [ PC : PC ]
   [ MAJ : 09-08-2008 | 21:15 ]
 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [02/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [11/05/2008|08:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [10/08/2008|10:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\apsvqruj
   [02/04/2008|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
   [31/03/2008|23:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
   [06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
   [06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
   [30/04/2008|09:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [21/07/2008|08:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\LauncherAccess.dt
   [14/07/2008|15:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [01/01/2002|01:06] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [01/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

   [31/03/2008|23:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
   [31/03/2008|23:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [07/04/2008|20:01] C:\DOCUME~1\ENFANT~1\APPLIC~1\Adobe
   [14/07/2008|15:38] C:\DOCUME~1\ENFANT~1\APPLIC~1\AdobeUM
   [17/04/2008|16:59] C:\DOCUME~1\ENFANT~1\APPLIC~1\Apple Computer
   [31/03/2008|23:08] C:\DOCUME~1\ENFANT~1\APPLIC~1\desktop.ini
   [06/04/2008|07:40] C:\DOCUME~1\ENFANT~1\APPLIC~1\DivX
   [07/05/2008|14:56] C:\DOCUME~1\ENFANT~1\APPLIC~1\F-Secure
   [29/04/2008|11:26] C:\DOCUME~1\ENFANT~1\APPLIC~1\Google
   [04/04/2008|16:43] C:\DOCUME~1\ENFANT~1\APPLIC~1\Identities
   [04/04/2008|16:48] C:\DOCUME~1\ENFANT~1\APPLIC~1\Macromedia
   [10/08/2008|10:33] C:\DOCUME~1\ENFANT~1\APPLIC~1\Microsoft
   [31/12/2001|23:29] C:\DOCUME~1\ENFANT~1\APPLIC~1\PC Tools
   [10/08/2008|10:42] C:\DOCUME~1\ENFANT~1\APPLIC~1hc9lnj0en5t
   [20/07/2008|18:57] C:\DOCUME~1\ENFANT~1\APPLIC~1\Samsung
   [15/05/2008|13:22] C:\DOCUME~1\ENFANT~1\APPLIC~1\vlc
   [15/05/2008|12:23] C:\DOCUME~1\ENFANT~1\APPLIC~1\WinRAR

   [21/07/2008|08:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
   [02/04/2008|22:09] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [31/03/2008|23:29] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [31/12/2001 23:11][--ah-----] C:\WINDOWS	asks\SA.DAT
   [30/08/2002 13:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [02/04/2008|21:58] C:\Program Files\Adobe
   [02/04/2008|21:56] C:\Program Files\Ahead
   [02/04/2008|21:51] C:\Program Files\Alwil Software
   [10/08/2008|10:53] C:\Program Files\AxBx
   [31/03/2008|23:21] C:\Program Files\ComPlus Applications
   [02/04/2008|21:58] C:\Program Files\CyberLink
   [25/05/2008|14:58] C:\Program Files\directx
   [02/04/2008|22:02] C:\Program Files\DivX
   [01/01/2002|00:46] C:\Program Files\eMule
   [18/04/2008|08:58] C:\Program Files\Fichiers communs
   [28/06/2008|12:13] C:\Program Files\Firefly Studios
   [02/07/2008|13:47] C:\Program Files\GameSpy Arcade
   [30/04/2008|17:51] C:\Program Files\Google
   [03/08/2008|18:29] C:\Program Files\GUILD WARS
   [20/07/2008|18:53] C:\Program Files\InstallShield Installation Information
   [09/04/2008|15:08] C:\Program Files\Internet Explorer
   [23/06/2008|17:41] C:\Program Files\Lexmark X1100 Series
   [05/04/2008|18:37] C:\Program Files\Messenger
   [02/04/2008|21:03] C:\Program Files\Microsoft Digital Image 10
   [31/03/2008|23:25] C:\Program Files\microsoft frontpage
   [02/04/2008|20:38] C:\Program Files\Microsoft Office
   [02/04/2008|20:38] C:\Program Files\Microsoft Visual Studio
   [02/04/2008|20:38] C:\Program Files\Microsoft Works
   [02/04/2008|20:37] C:\Program Files\Microsoft.NET
   [01/04/2008|06:48] C:\Program Files\Movie Maker
   [02/04/2008|06:18] C:\Program Files\MSBuild
   [31/03/2008|23:21] C:\Program Files\MSN
   [31/03/2008|23:21] C:\Program Files\MSN Gaming Zone
   [05/04/2008|18:37] C:\Program Files\MSN Messenger
   [08/04/2008|17:59] C:\Program Files\MSXML 6.0
   [01/04/2008|06:46] C:\Program Files\NetMeeting
   [01/04/2008|21:48] C:\Program Files\NVIDIA Corporation
   [10/08/2008|10:42] C:\Program Files\ossngzf
   [01/04/2008|22:25] C:\Program Files\Outlook Express
   [06/04/2008|16:25] C:\Program Files\Pack Securite
   [02/04/2008|06:12] C:\Program Files\Reference Assemblies
   [01/01/2002|00:03] C:\Program Fileshc9lnj0en5t
   [20/07/2008|18:35] C:\Program Files\Samsung
   [31/03/2008|23:23] C:\Program Files\Services en ligne
   [01/01/2002|00:26] C:\Program Files\Spyware Doctor
   [10/08/2008|10:26] C:\Program Files\THQ
   [01/01/2002|00:34] C:\Program Files\Trend Micro
   [01/04/2008|06:11] C:\Program Files\Uninstall Information
   [15/05/2008|13:20] C:\Program Files\VideoLAN
   [02/04/2008|06:03] C:\Program Files\Windows Media Connect 2
   [02/04/2008|06:03] C:\Program Files\Windows Media Player
   [01/04/2008|06:46] C:\Program Files\Windows NT
   [31/03/2008|23:21] C:\Program Files\WindowsUpdate
   [15/05/2008|12:22] C:\Program Files\WinRAR
   [31/03/2008|23:25] C:\Program Files\xerox
   [04/04/2008|09:17] C:\Program Files\XviD

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [02/04/2008|22:01] C:\Program Files\Fichiers communs\Adobe
   [02/04/2008|21:55] C:\Program Files\Fichiers communs\Ahead
   [02/04/2008|20:38] C:\Program Files\Fichiers communs\DESIGNER
   [01/04/2008|21:37] C:\Program Files\Fichiers communs\InstallShield
   [31/12/2001|23:56] C:\Program Files\Fichiers communs\Microsoft Shared
   [31/03/2008|23:22] C:\Program Files\Fichiers communs\MSSoap
   [01/04/2008|21:48] C:\Program Files\Fichiers communs\NVIDIA Shared
   [31/03/2008|23:08] C:\Program Files\Fichiers communs\ODBC
   [31/03/2008|23:22] C:\Program Files\Fichiers communs\Services
   [31/03/2008|23:08] C:\Program Files\Fichiers communs\SpeechEngines
   [02/04/2008|20:38] C:\Program Files\Fichiers communs\System

   --------------------\  Process

   ( 42 Processus )

   iexplore.exe ~ [3056]

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertstream[2].txt
   C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertising[2].txt
   C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@partypoker[2].txt
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2002-01-01 01:21:56
   Windows 5.1.2600 Service Pack 2 NTFS
   detected NTDLL code modification:
   ZwClose
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   => C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@www.inthecrack[2].txt


   [F:1440][D:193]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\Temp
   [F:488][D:0]-> C:\DOCUME~1\ENFANT~1\Cookies
   [F:11458][D:24]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\TEMPOR~1\content.IE5

   --------------------\  Fin du rapport a  1:27:58,40

sKe69 · Answer

Re,

fais ce-ci d'abors : http://www.commentcamarche.net/forum/affich 7860933 antivirus xp 2008#3

damien1001 · Answer

la j'ai encore un probleme avec hijackthis il ne demarre pas et ne se desinstalle pas non plus (meme en mode sans echec)

sKe69 · Answer

laisse tomber hijackthis pour le momment et fais ce-ci :

! déconnectes toi et fermes toutes applications en cours !

Relances Lop S&D :

--->choisis l'option 3 (recherche) et valides.
 
Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
Postes ce rapport dans ta prochaine réponse pour analyse ...

Dis moi aussi au passage quel AV tu as désinstallé ....

damien1001 · Answer

--------------------\  Lop S&D 4.2.2-6  XP/Vista

   [ Windows XP (NT 5.1) Build 2600, Service Pack 2 ]
   [ USER : enfants et eric ] [ "C:\Lop SD" ] [ Selection : 3 ]
   [ 01/01/2002 |  3:08:47,54 ] [ PC : PC ]
   [ MAJ : 09-08-2008 | 21:15 ]


   \\\\\\\\\\\\\\\ SUPPRESSION /////////////////////////////

   Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertstream[2].txt
   Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@advertising[2].txt
   Supprime! - C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@partypoker[2].txt
 
   //////////////////////////////////////-\\\\\\\\\\\\\\\\\\\\ 

 
   --------------------\  Listing des dossiers dans APPLIC~1  

   [02/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [11/05/2008|08:34] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer
   [10/08/2008|10:42] C:\DOCUME~1\ALLUSE~1\APPLIC~1\apsvqruj
   [02/04/2008|21:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\CyberLink
   [31/03/2008|23:08] C:\DOCUME~1\ALLUSE~1\APPLIC~1\desktop.ini
   [06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\F-Secure
   [06/04/2008|09:39] C:\DOCUME~1\ALLUSE~1\APPLIC~1\fssg
   [30/04/2008|09:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google
   [21/07/2008|08:58] C:\DOCUME~1\ALLUSE~1\APPLIC~1\LauncherAccess.dt
   [14/07/2008|15:15] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [01/01/2002|01:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [01/04/2008|22:01] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

   [31/03/2008|23:08] C:\DOCUME~1\DEFAUL~1\APPLIC~1\desktop.ini
   [31/03/2008|23:24] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [07/04/2008|20:01] C:\DOCUME~1\ENFANT~1\APPLIC~1\Adobe
   [14/07/2008|15:38] C:\DOCUME~1\ENFANT~1\APPLIC~1\AdobeUM
   [17/04/2008|16:59] C:\DOCUME~1\ENFANT~1\APPLIC~1\Apple Computer
   [31/03/2008|23:08] C:\DOCUME~1\ENFANT~1\APPLIC~1\desktop.ini
   [06/04/2008|07:40] C:\DOCUME~1\ENFANT~1\APPLIC~1\DivX
   [07/05/2008|14:56] C:\DOCUME~1\ENFANT~1\APPLIC~1\F-Secure
   [29/04/2008|11:26] C:\DOCUME~1\ENFANT~1\APPLIC~1\Google
   [04/04/2008|16:43] C:\DOCUME~1\ENFANT~1\APPLIC~1\Identities
   [04/04/2008|16:48] C:\DOCUME~1\ENFANT~1\APPLIC~1\Macromedia
   [10/08/2008|10:33] C:\DOCUME~1\ENFANT~1\APPLIC~1\Microsoft
   [10/08/2008|10:42] C:\DOCUME~1\ENFANT~1\APPLIC~1hc9lnj0en5t
   [20/07/2008|18:57] C:\DOCUME~1\ENFANT~1\APPLIC~1\Samsung
   [15/05/2008|13:22] C:\DOCUME~1\ENFANT~1\APPLIC~1\vlc
   [15/05/2008|12:23] C:\DOCUME~1\ENFANT~1\APPLIC~1\WinRAR

   [21/07/2008|08:50] C:\DOCUME~1\LOCALS~1\APPLIC~1\Adobe
   [02/04/2008|22:09] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [31/03/2008|23:29] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft

 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [01/01/2002 02:06][--ah-----] C:\WINDOWS	asks\SA.DAT
   [30/08/2002 13:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [02/04/2008|21:58] C:\Program Files\Adobe
   [02/04/2008|21:56] C:\Program Files\Ahead
   [02/04/2008|21:51] C:\Program Files\Alwil Software
   [31/03/2008|23:21] C:\Program Files\ComPlus Applications
   [02/04/2008|21:58] C:\Program Files\CyberLink
   [25/05/2008|14:58] C:\Program Files\directx
   [02/04/2008|22:02] C:\Program Files\DivX
   [01/01/2002|00:46] C:\Program Files\eMule
   [18/04/2008|08:58] C:\Program Files\Fichiers communs
   [28/06/2008|12:13] C:\Program Files\Firefly Studios
   [02/07/2008|13:47] C:\Program Files\GameSpy Arcade
   [30/04/2008|17:51] C:\Program Files\Google
   [03/08/2008|18:29] C:\Program Files\GUILD WARS
   [20/07/2008|18:53] C:\Program Files\InstallShield Installation Information
   [09/04/2008|15:08] C:\Program Files\Internet Explorer
   [23/06/2008|17:41] C:\Program Files\Lexmark X1100 Series
   [05/04/2008|18:37] C:\Program Files\Messenger
   [02/04/2008|21:03] C:\Program Files\Microsoft Digital Image 10
   [31/03/2008|23:25] C:\Program Files\microsoft frontpage
   [02/04/2008|20:38] C:\Program Files\Microsoft Office
   [02/04/2008|20:38] C:\Program Files\Microsoft Visual Studio
   [02/04/2008|20:38] C:\Program Files\Microsoft Works
   [02/04/2008|20:37] C:\Program Files\Microsoft.NET
   [01/04/2008|06:48] C:\Program Files\Movie Maker
   [02/04/2008|06:18] C:\Program Files\MSBuild
   [31/03/2008|23:21] C:\Program Files\MSN
   [31/03/2008|23:21] C:\Program Files\MSN Gaming Zone
   [05/04/2008|18:37] C:\Program Files\MSN Messenger
   [08/04/2008|17:59] C:\Program Files\MSXML 6.0
   [01/04/2008|06:46] C:\Program Files\NetMeeting
   [01/04/2008|21:48] C:\Program Files\NVIDIA Corporation
   [10/08/2008|10:42] C:\Program Files\ossngzf
   [01/04/2008|22:25] C:\Program Files\Outlook Express
   [01/01/2002|01:57] C:\Program Files\Pack Securite
   [02/04/2008|06:12] C:\Program Files\Reference Assemblies
   [01/01/2002|00:03] C:\Program Fileshc9lnj0en5t
   [20/07/2008|18:35] C:\Program Files\Samsung
   [31/03/2008|23:23] C:\Program Files\Services en ligne
   [10/08/2008|10:26] C:\Program Files\THQ
   [01/01/2002|00:34] C:\Program Files\Trend Micro
   [01/04/2008|06:11] C:\Program Files\Uninstall Information
   [15/05/2008|13:20] C:\Program Files\VideoLAN
   [02/04/2008|06:03] C:\Program Files\Windows Media Connect 2
   [02/04/2008|06:03] C:\Program Files\Windows Media Player
   [01/04/2008|06:46] C:\Program Files\Windows NT
   [31/03/2008|23:21] C:\Program Files\WindowsUpdate
   [15/05/2008|12:22] C:\Program Files\WinRAR
   [31/03/2008|23:25] C:\Program Files\xerox
   [04/04/2008|09:17] C:\Program Files\XviD

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [02/04/2008|22:01] C:\Program Files\Fichiers communs\Adobe
   [02/04/2008|21:55] C:\Program Files\Fichiers communs\Ahead
   [02/04/2008|20:38] C:\Program Files\Fichiers communs\DESIGNER
   [01/04/2008|21:37] C:\Program Files\Fichiers communs\InstallShield
   [31/12/2001|23:56] C:\Program Files\Fichiers communs\Microsoft Shared
   [31/03/2008|23:22] C:\Program Files\Fichiers communs\MSSoap
   [01/04/2008|21:48] C:\Program Files\Fichiers communs\NVIDIA Shared
   [31/03/2008|23:08] C:\Program Files\Fichiers communs\ODBC
   [31/03/2008|23:22] C:\Program Files\Fichiers communs\Services
   [31/03/2008|23:08] C:\Program Files\Fichiers communs\SpeechEngines
   [02/04/2008|20:38] C:\Program Files\Fichiers communs\System

   --------------------\  Process

   ( 30 Processus )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
   catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
   Rootkit scan 2002-01-01 03:10:11
   Windows 5.1.2600 Service Pack 2 NTFS
   scanning hidden processes ...
   scanning hidden files ...
   scan completed successfully
   hidden processes: 0
   hidden files: 0
 
   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   => C:\DOCUME~1\ENFANT~1\Cookies\enfants_et_eric@www.inthecrack[2].txt


   [F:1444][D:192]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\Temp
   [F:507][D:0]-> C:\DOCUME~1\ENFANT~1\Cookies
   [F:17681][D:28]-> C:\DOCUME~1\ENFANT~1\LOCALS~1\TEMPOR~1\content.IE5

   --------------------\  Fin du rapport a  3:11:56,25




je ne peut pas desinstaller avast a cause d'une ancienne restauration systeme qui a foirer donc je pense avoir supprimer les autres antivirus

sKe69 · Answer

je ne peut pas desinstaller avast a cause d'une ancienne restauration systeme qui a foirer donc je pense avoir supprimer les autres antivirus
--> je ne t'ai jamais demander de supprimé tout tes antivirus ! Mais d'en guarder qu' un seul  ...  :-/

Soit ,

Fais ce-ci maitenant :

Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec : 
Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ), celui-ci devrai fonctionner maintenant  ...

damien1001 · Answer

voici les rapports des deux analyses :

malwarebytes:
Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1045
Windows 5.1.2600 Service Pack 2

18:22:37 01/08/2008
mbam-log-8-1-2008 (18-22-37).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 136620
Temps écoulé: 1 hour(s), 7 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 28
Valeur(s) du Registre infectée(s): 14
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 14
Fichier(s) infecté(s): 65

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstallhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWAREhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER	ypelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Servicesdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e8bc373f-1046-4a94-adc5-c50da588df89} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\buritos (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Fileshc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Application Datahc9lnj0en5t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Documents and Settings\enfants et eric\Local Settings\Temporary Internet Files\Content.IE5\79LUKAME\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{897DE904-BC60-4807-A4F0-118A482B184C}\RP100\A0027735.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karina.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winivstr.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Program Fileshc9lnj0en5t\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Fileshc9lnj0en5t\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Fileshc9lnj0en5t\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Fileshc9lnj0en5thc9lnj0en5t.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\buritos.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
etode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32
ewsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32egm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	aack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	aack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	emp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcclnj0en5t.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcclnj0en5t.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackbo.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\enfants et eric\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.




hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:29:40, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cjibadez.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKCU\..\Run: [strgen] C:\WINDOWS\system32\mdshixkf.exe
O4 - HKLM\..\Policies\Explorer\Run: [FcGR18Jg97] C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: karina.dat
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

sKe69 · Answer

Bien Malwarebytes à bien bosser mais il reste encore pas mal de boulot :-/ 1- Supprimes tout ce qui se trouve dans la quarantaine de malwarebytes ( via celle-ci bien sûr ) 2- Télécharges : - CCleaner https://www.pcastuces.com/logitheque/ccleaner.htm Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première. Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). Un tuto ( aide ): http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm ---> Utilisation: ! déconnectes toi et fermes toutes applications en cours ! * vas dans "nettoyeur" : fait analyse puis nettoyage * vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 3- souligne>Télécharges Navilog1 sur ton bureau : http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe !! Déconnectes toi,désactives tes défences( anti-virus,anti-spyware ) et fermes bien toutes tes applications le temps de la manipe !! Ensuite double clique sur navilog1.exe pour lancer l'installation. Une fois l'installation terminée, le fix s'exécutera automatiquement. (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). Laisses-toi guider. Au menu principal, choisis 1 et valides. (ne fais pas le choix 2,3 ou 4 sans notre avis/accord) Patiente jusqu'au message : *** Analyse Termine le ..... *** Appuies sur une touche comme demandé, le bloc-note va s'ouvrir. Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite . (Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" ) TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

damien1001 · Answer

Search Navipromo version 3.6.3 commencé le 01/08/2008 à 21:48:32,81

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "enfants et eric" 

Mise à jour le 09.08.2008 à 18h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\enfants et eric\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\enfants et eric\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 01/08/2008 à 21:55:22,07 ***

sKe69 · Answer

Rien ... bizard ...

fais ce-ci stp :

Télécharges SDFix sur ton bureau :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe. 

--->Double-cliques sur SDFix.exe et choisis "Install" .

( tuto ici : https://www.malekal.com/slenfbot-still-an-other-irc-bot/ )

Puis une fois l'installe faite ,redémarres en mode sans échec . 
Comment aller en Mode sans échec :
1) Redémarres ton ordi 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
( ps : n'oublies pas , en mode sans échec , pas de connexion ! Donc copies ou imprimes bien les info ci-dessous ...) 

Ouvres le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double cliques sur RunThis.bat pour lancer le script. 
--->Tapes Y pour lancer le script ... 
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire , donc :
presses une touche pour redémarrer quand il te le sera demandé . 

Le PC va mettre du temps avant de démarrer ( c'est normale ), après le chargement du Bureau presses une touche lorsque "Finished" s'affiche .

Le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier C:\SDFix sous le nom "Report.txt".
Postes ce dernier dans ta prochaine réponse accompagné d'un nouveau rapport Hijakcthis pour analyse ...

damien1001 · Answer

[b]SDFix: Version 1.215 [/b]
Run by enfants et eric on 01/08/2008 at 23:29

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]: 
RXD17

[b]Path [/b]:
System32\Drivers\Rxd17.sys 

RXD17 - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service RXD17 - Deleted

[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\10.tmp - Deleted
C:\WINDOWS\system32\11.tmp - Deleted
C:\WINDOWS\system32\12.tmp - Deleted
C:\WINDOWS\system32\13.tmp - Deleted
C:\WINDOWS\system32\14.tmp - Deleted
C:\WINDOWS\system32\15.tmp - Deleted
C:\WINDOWS\system32\16.tmp - Deleted
C:\WINDOWS\system32\17.tmp - Deleted
C:\WINDOWS\system32\drivers\RXD17.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-01 23:36:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\WINDOWS\system32\LEXPPS.EXE"="C:\WINDOWS\system32\LEXPPS.EXE:*:Enabled:LEXPPS.EXE"
"C:\WINDOWS\system32\dplaysvr.exe"="C:\WINDOWS\system32\dplaysvr.exe:*:Enabled:Microsoft DirectPlay Helper"
"C:\Program Files\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe"="C:\Program Files\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe:*:Enabled:Stronghold Crusader"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Fri 23 May 2008         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed  2 Apr 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]











Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:43:06, on 01/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32
otepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\mdshixkf.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe
O4 - HKCU\..\Run: [strgen] C:\WINDOWS\system32\mdshixkf.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: karina.dat
O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

sKe69 · Answer

très bien ...

de plus une nouvelle infection vient de ce montrer  :p

1- refais un coup de CCleaner ( registre compris ) 


2- fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !): 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide . 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Attention : 
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire . 
--> si un message d'erreur windows apparait à un momment  : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

damien1001 · Answer

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 3:34:33.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.186 [GMT 2:00] Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\ati3d1a.dll C:\WINDOWS\system32\B.tmp C:\WINDOWS\system32\F.tmp . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-13 to 2008-08-13 )))))))))))))))))))))))))))))))))))) . 2008-08-10 11:48 . 2008-08-10 11:48 86,016 --a------ C:\WINDOWS\system32\srmrodwt.exe 2008-08-10 11:42 . 2008-08-10 11:42 d-------- C:\Program Files\ossngzf 2008-08-10 11:42 . 2008-08-10 11:42 d-------- C:\Documents and Settings\All Users\Application Data\apsvqruj 2008-08-10 11:42 . 2008-08-10 11:42 86,016 --a------ C:\WINDOWS\system32\cjibadez.exe 2008-08-01 23:26 . 2008-08-01 23:26 d-------- C:\WINDOWS\ERUNT 2008-08-01 23:21 . 2008-08-01 23:37 d----c--- C:\SDFix 2008-08-01 21:47 . 2008-08-01 21:56 d-------- C:\Program Files\Navilog1 2008-08-01 19:21 . 2008-08-01 19:21 d-------- C:\Program Files\CCleaner 2008-08-01 19:00 . 2008-08-01 19:00 130,048 --a------ C:\WINDOWS\system32 ixqrwdm.exe 2008-08-01 18:25 . 2008-08-01 18:25 130,048 --a------ C:\WINDOWS\system32\kxgrevof.exe 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-21 09:50 . 2008-07-21 09:50 d-------- C:\Documents and Settings\LocalService\Bureau 2008-07-20 19:57 . 2008-07-20 19:57 d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung 2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico 2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs 2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys 2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys 2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys 2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-07-20 19:35 . 2008-07-20 19:35 d-------- C:\Program Files\Samsung 2008-07-14 16:38 . 2008-07-14 16:38 d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM 2008-07-14 16:15 . 2008-08-01 18:54 d-------- C:\Program Files\GUILD WARS . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 09:26 --------- d-----w C:\Program Files\THQ 2008-08-01 16:54 --------- d-----w C:\Program Files\eMule 2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade 2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios 2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series 2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll 2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll 2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] "DbProcApi"="C:\WINDOWS\system32\cjibadez.exe" [2008-08-10 11:42 86016] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableTaskMgr"= 0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "ProcDbCom"= {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll [2008-08-10 11:42 114688] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray] --a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\WINDOWS\system32\LEXPPS.EXE"= "C:\WINDOWS\system32\dplaysvr.exe"= "C:\Program Files\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47] R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\AutoPlay.exe . - - - - ORPHANS REMOVED - - - - HKCU-Run-strgen - C:\WINDOWS\system32\mdshixkf.exe MSConfigStartUp-QuickTime Task - C:\Program Files\QuickTime\QTTask.exe . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.com R0 -: HKLM-Main,Start Page = hxxp://www.google.com O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 03:39:54 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-13 3:44:33 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-13 01:44:28 Pre-Run: 27,171,270,656 octets libres Post-Run: 27,112,570,880 octets libres 132 --- E O F --- 2008-04-10 10:14:41 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:45:09, on 13/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\cjibadez.exe C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DbProcApi] C:\WINDOWS\system32\cjibadez.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O21 - SSODL: ProcDbCom - {437CC218-806E-D9D1-177A-03D87A9D27E7} - C:\Program Files\ossngzf\ProcDbCom.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

sKe69 · Answer

Salut,

la suite :

A-  Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché 
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


B - 1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"DbProcApi"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
"ProcDbCom"=-

File:: 
C:\Program Files\ossngzf\ProcDbCom.dll 
C:\WINDOWS\system32\cjibadez.exe 
C:\WINDOWS\system32\srmrodwt.exe 
C:\WINDOWS\system32
ixqrwdm.exe 
C:\WINDOWS\system32\kxgrevof.exe 

DirLook::
C:\Program Files\ossngzf 
C:\Documents and Settings\All Users\Application Data\apsvqruj 
 

Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

damien1001 · Answer

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 13:13:08.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.148 [GMT 2:00] Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\enfants et eric\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Program Files\ossngzf\ProcDbCom.dll C:\WINDOWS\system32\cjibadez.exe C:\WINDOWS\system32\kxgrevof.exe C:\WINDOWS\system32 ixqrwdm.exe C:\WINDOWS\system32\srmrodwt.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\ossngzf\ProcDbCom.dll C:\WINDOWS\system32\cjibadez.exe C:\WINDOWS\system32\kxgrevof.exe C:\WINDOWS\system32 ixqrwdm.exe C:\WINDOWS\system32\srmrodwt.exe . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-13 to 2008-08-13 )))))))))))))))))))))))))))))))))))) . 2008-08-10 11:42 . 2008-08-13 13:13 d-------- C:\Program Files\ossngzf 2008-08-10 11:42 . 2008-08-10 11:42 d-------- C:\Documents and Settings\All Users\Application Data\apsvqruj 2008-08-01 23:26 . 2008-08-01 23:26 d-------- C:\WINDOWS\ERUNT 2008-08-01 23:21 . 2008-08-01 23:37 d----c--- C:\SDFix 2008-08-01 21:47 . 2008-08-01 21:56 d-------- C:\Program Files\Navilog1 2008-08-01 19:21 . 2008-08-01 19:21 d-------- C:\Program Files\CCleaner 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-21 09:50 . 2008-07-21 09:50 d-------- C:\Documents and Settings\LocalService\Bureau 2008-07-20 19:57 . 2008-07-20 19:57 d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung 2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico 2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs 2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys 2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys 2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys 2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-07-20 19:35 . 2008-07-20 19:35 d-------- C:\Program Files\Samsung 2008-07-14 16:38 . 2008-07-14 16:38 d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM 2008-07-14 16:15 . 2008-08-01 18:54 d-------- C:\Program Files\GUILD WARS . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 09:26 --------- d-----w C:\Program Files\THQ 2008-08-01 16:54 --------- d-----w C:\Program Files\eMule 2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade 2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios 2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series 2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll 2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll 2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll . (((((((((((((((((((((((((((((((((((((((((((( Look ))))))))))))))))))))))))))))))))))))))))))))))))))))))))) . ---- Directory of C:\Documents and Settings\All Users\Application Data\apsvqruj ---- 2008-08-10 11:42 61440 --a------ C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe ---- Directory of C:\Program Files\ossngzf ---- 2008-08-10 11:42 114688 --a------ C:\Program Files\ossngzf\ProcDbCom.dll ((((((((((((((((((((((((((((( snapshot@2008-08-13_ 3.44.07.92 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-13 09:08:57 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_578.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray] --a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\WINDOWS\system32\LEXPPS.EXE"= "C:\WINDOWS\system32\dplaysvr.exe"= "C:\Program Files\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28] S2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\AutoPlay.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 13:15:45 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-13 13:17:23 ComboFix-quarantined-files.txt 2008-08-13 11:17:16 ComboFix2.txt 2008-08-13 01:44:34 Pre-Run: 27,541,041,152 octets libres Post-Run: 27,536,568,320 octets libres 119 --- E O F --- 2008-04-10 10:14:41 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:31:14, on 13/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32 otepad.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

sKe69 · Answer

Bien ...

-->supprimes le CFScript que tu as et on va en fair un autre ...


1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe 

Folder:: 
C:\Documents and Settings\All Users\Application Data\apsvqruj
C:\Program Files\ossngzf


Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

damien1001 · Answer

ComboFix 08-08-12.01 - enfants et eric 2008-08-13 16:03:03.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.160 [GMT 2:00] Endroit: C:\Documents and Settings\enfants et eric\Bureau\C-Fix.exe Command switches used :: C:\Documents and Settings\enfants et eric\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Application Data\apsvqruj C:\Documents and Settings\All Users\Application Data\apsvqruj\mlkryhkf.exe C:\Program Files\ossngzf . ((((((((((((((((((((((((((((( Fichiers créés 2008-07-13 to 2008-08-13 )))))))))))))))))))))))))))))))))))) . 2008-08-01 23:26 . 2008-08-01 23:26 d-------- C:\WINDOWS\ERUNT 2008-08-01 23:21 . 2008-08-01 23:37 d----c--- C:\SDFix 2008-08-01 21:47 . 2008-08-01 21:56 d-------- C:\Program Files\Navilog1 2008-08-01 19:21 . 2008-08-01 19:21 d-------- C:\Program Files\CCleaner 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\enfants et eric\Application Data\Malwarebytes 2008-08-01 16:42 . 2008-08-01 16:42 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-07-21 09:50 . 2008-07-21 09:50 d-------- C:\Documents and Settings\LocalService\Bureau 2008-07-20 19:57 . 2008-07-20 19:57 d-------- C:\Documents and Settings\enfants et eric\Application Data\Samsung 2008-07-20 19:54 . 2005-08-13 05:06 22,486 -ra------ C:\WINDOWS\system32\UnInstall_Sample.ico 2008-07-20 19:46 . 2008-07-20 19:45 5,632 --a------ C:\WINDOWS\system32\drivers\StarOpen.sys 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung_USB_Drivers 2008-07-20 19:36 . 2008-07-20 19:36 d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs 2008-07-20 19:36 . 2005-12-22 12:24 137,884 --a------ C:\WINDOWS\system32\drivers\sscdmdm.sys 2008-07-20 19:36 . 2005-12-22 12:24 80,272 --a------ C:\WINDOWS\system32\drivers\sscdbus.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcmnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,877 --a------ C:\WINDOWS\system32\drivers\sscdcm.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwhnt.sys 2008-07-20 19:36 . 2005-12-22 12:24 11,188 --a------ C:\WINDOWS\system32\drivers\sscdwh.sys 2008-07-20 19:36 . 2005-12-22 12:24 10,864 --a------ C:\WINDOWS\system32\drivers\sscdmdfl.sys 2008-07-20 19:36 . 2005-08-28 20:51 766 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-07-20 19:35 . 2008-07-20 19:35 d-------- C:\Program Files\Samsung 2008-07-14 16:38 . 2008-07-14 16:38 d-------- C:\Documents and Settings\enfants et eric\Application Data\AdobeUM 2008-07-14 16:15 . 2008-08-01 18:54 d-------- C:\Program Files\GUILD WARS . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-10 09:26 --------- d-----w C:\Program Files\THQ 2008-08-01 16:54 --------- d-----w C:\Program Files\eMule 2008-07-20 17:53 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-07-02 12:47 --------- d-----w C:\Program Files\GameSpy Arcade 2008-06-28 11:13 --------- d-----w C:\Program Files\Firefly Studios 2008-06-23 16:41 --------- d-----w C:\Program Files\Lexmark X1100 Series 2008-05-25 14:01 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll 2008-05-25 14:01 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll 2008-05-25 14:01 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll . ((((((((((((((((((((((((((((( snapshot@2008-08-13_ 3.44.07.92 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-13 13:57:13 16,384 ------w C:\WINDOWS\Temp\Perflib_Perfdata_578.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "Lexmark X1100 Series"="C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 16:48 57344] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVMixerTray] --a------ 2004-06-03 20:51 131072 C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerTray.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= "C:\Program Files\MSN Messenger\livecall.exe"= "C:\WINDOWS\system32\LEXPPS.EXE"= "C:\WINDOWS\system32\dplaysvr.exe"= "C:\Program Files\Firefly Studios\Stronghold Crusader\Stronghold Crusader.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-23 18:47] R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 22:28] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D] \Shell\AutoRun\command - D:\AutoPlay.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-13 16:05:33 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cachés ... Balayage caché autostart entries ... Balayage des fichiers cachés ... Scan terminé avec succès Les fichiers cachés: 0 ************************************************************************** . Temps d'accomplissement: 2008-08-13 16:07:05 ComboFix-quarantined-files.txt 2008-08-13 14:07:00 ComboFix2.txt 2008-08-13 11:17:24 ComboFix3.txt 2008-08-13 01:44:34 Pre-Run: 27,529,273,344 octets libres Post-Run: 27,523,379,200 octets libres 105 --- E O F --- 2008-04-10 10:14:41 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:09:00, on 13/08/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\lexpps.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe

sKe69 · Answer

Ok ... Bon travail ...

Il faudrais pensé à réactiver Avast ...

-->vas dans "C:\program files", puis recherche le dossier "alwil" (Avast) .
Tu rentres dedans et recherches " ashDisp.exe " -> tu cliques dessus ---> l´icone d´avast devrait réaparaitre ...


Puis refais un coup de CCleaner ( registre compris ) ... 


--> Et enfin , dis moi comment va le PC , encore des sousis en particulier ? ... 

Ensuite on finalisera ....

damien1001 · Answer

tous semble remarcher correctement voir meme mieux qu'avant sur ce compte utilisateur, mais j'ai l'impression qu'il n'a pas entierement disparue sur le second compte car j'ai toujours un message d'alerte du pare-feu et je ne peut pas accerder au proprietes du bureau pour changer le papier-peint

damien1001 · Answer

il est encore present sur le second compte, est-ce que je doit refaire les meme manips que precedement ??

sKe69 · Answer

Salut,

de retour ...

Mets Malwarebytes à jours ...

Redémarres en modes sans échec et rentre dans ce second compte ...

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan )  et supprimes tout ce qu'il peut trouver :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ) et rentre dans ce second compte ....

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

Antivirus xp 2008 - Page 2

Discussions similaires

Newsletters