Sujet Précédent Sujet Suivant

Trojan TR/Vundo et VBS/Agent

Résolu
dvilla68 Messages postés 30 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

J'ai un scan en mode sans échec de mon ordi de bureau avec antivir et il a détecté les trojan/virus suivants:
- VBS/Agent.1002
- TR/Vundo.ffs.21

Y a-t-il une méthode à suivre pour supprimer ces trojan de mon ordinateur? dois-je coller un rapport hijackthis?

Merci d'avance pour votre réponse et pour votre aide.
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

Télécharges et installes le logiciel HijackThis :

ici :ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici : http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe " .
Supprimes le raccourcis stp ...

Important ( pour contrer Vundo ) :
Renommer le prg HijackThis :
Rends toi sur ton PC ici "C:\ programme file\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ).

tuto pour utilisation
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

2-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile"

---> Postes le rapport généré pour analyse ...
0
Réponse 2 / 28
dvilla68 Messages postés 30 Statut Membre
 
Merci pour ton aide.
Malheureusement j'ai un plus gros souci maintenant. Je faisais tourner adaware, mais mon ordi n'a pas arrêté de redémarrer tout seul en m'affichant plein de pages bleues avec des messages d'erreur. J'ai éteint l'ordi de manière forcée mais depui au démarrage il reste bloqué sur le "bonjour" windows et même le mode sans échec ne veut pas se lancer! je crois que l'heure est grave...
Y a-t-il toujours possibilité de faire récupérer les données du disque dur selon vous?
merci d'avance
0
Réponse 3 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

Je ne t'ai pas demander de lancer ad-aware ... :-/

une fois que ton PC arrive sur le "bonjour" , essayes ce-ci :

Appuies simultanément sur Ctrl + Alt et puis sur Suppr

--> cela ouvre le gestionnaire des taches ...

là tu cliques sur " fichier " , puis tu choisis : "nouvelle tâche ( Exécuter...) "
--> dans l'encadrer tu tapes exactement ce-ci : explorer
et tu valides ...

cela devrai faire apparaitre ton bureau ...

dis moi ce que cela a donné ....
0
Réponse 4 / 28
dvilla68 Messages postés 30 Statut Membre
 
non je sais bien que tu n'as pas demandé de faire tourner adaware, mais il tournait au moment où j'ai écrit le premier post... mais je vais suivre à la lettre tes infos dorénavant :) merci je te tiens au courant de l'avancée des choses
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
dvilla68 Messages postés 30 Statut Membre
 
Voilà mon hijackthis (j'ai fait vite, mon ordi vient de replanter, je peux plus rien bouger...)
je fais les postes depuis mon portable...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:46, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\logiciels\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\Logiciels\Itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\lphcl73j0e14v.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} - C:\WINDOWS\system32\rqRLccdA.dll
O2 - BHO: (no name) - {6F5FA674-DC09-4601-B673-F76368C3E19B} - C:\WINDOWS\system32\khfEXoop.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: {0bd60a71-5b3b-226b-1024-273cd7aa5987} - {7895aa7d-c372-4201-b622-b3b517a06db0} - C:\WINDOWS\system32\ikitrs.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Logiciels\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [7c3044c4] rundll32.exe "C:\WINDOWS\system32\vlbjscwl.dll",b
O4 - HKLM\..\Run: [lphcl73j0e14v] C:\WINDOWS\system32\lphcl73j0e14v.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80242A8-4F32-4F9F-AFB1-FB4A6E4E9AA8}: NameServer = 212.27.53.252,212.27.54.252
O20 - Winlogon Notify: rqRLccdA - C:\WINDOWS\SYSTEM32\rqRLccdA.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\logiciels\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 6 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Ok ...

commences par ce-ci :

Télécharges VirtumundoBegone sur ton bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

!! Ce déconnecter et fermer toute ces applications le temps de la manipe !!

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

Postes le rapport VBG accompagné d'un nouveau rapport Hijackthis pour analyse ...
0
Réponse 7 / 28
dvilla68 Messages postés 30 Statut Membre
 
Voilà le rapport VBG:

[08/19/2008, 11:46:49] - VirtumundoBeGone v1.5 ( "c:\documents and settings\famille\bureau\virtumundobegone.exe" )
[08/19/2008, 11:46:59] - Detected System Information:
[08/19/2008, 11:46:59] - Windows Version: 5.1.2600, Service Pack 2
[08/19/2008, 11:46:59] - Current Username: Famille (Admin)
[08/19/2008, 11:46:59] - Windows is in NORMAL mode.
[08/19/2008, 11:46:59] - Searching for Browser Helper Objects:
[08/19/2008, 11:46:59] - BHO 1: {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} ()
[08/19/2008, 11:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/19/2008, 11:46:59] - Checking for HKLM\...\Winlogon\Notify\rqRLccdA
[08/19/2008, 11:46:59] - Found: HKLM\...\Winlogon\Notify\rqRLccdA - This is probably Virtumundo.
[08/19/2008, 11:46:59] - Assigning {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} MSEvents Object
[08/19/2008, 11:46:59] - BHO list has been changed! Starting over...
[08/19/2008, 11:46:59] - BHO 1: {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} (MSEvents Object)
[08/19/2008, 11:46:59] - ALERT: Found MSEvents Object!
[08/19/2008, 11:46:59] - BHO 2: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/19/2008, 11:46:59] - BHO 3: {7895aa7d-c372-4201-b622-b3b517a06db0} ()
[08/19/2008, 11:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/19/2008, 11:46:59] - Checking for HKLM\...\Winlogon\Notify\ikitrs
[08/19/2008, 11:46:59] - Key not found: HKLM\...\Winlogon\Notify\ikitrs, continuing.
[08/19/2008, 11:46:59] - BHO 4: {AAF51A3C-E626-4223-87C4-12A572715F9C} ()
[08/19/2008, 11:46:59] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/19/2008, 11:46:59] - Checking for HKLM\...\Winlogon\Notify\khfEXoop
[08/19/2008, 11:46:59] - Key not found: HKLM\...\Winlogon\Notify\khfEXoop, continuing.
[08/19/2008, 11:46:59] - Finished Searching Browser Helper Objects
[08/19/2008, 11:46:59] - *** Detected MSEvents Object
[08/19/2008, 11:46:59] - Trying to remove MSEvents Object...
[08/19/2008, 11:47:01] - Terminating Process: IEXPLORE.EXE
[08/19/2008, 11:47:01] - Terminating Process: RUNDLL32.EXE
[08/19/2008, 11:47:02] - Disabling Automatic Shell Restart
[08/19/2008, 11:47:02] - Terminating Process: EXPLORER.EXE
[08/19/2008, 11:47:02] - Suspending the NT Session Manager System Service
[08/19/2008, 11:47:03] - Terminating Windows NT Logon/Logoff Manager
[08/19/2008, 11:47:03] - Re-enabling Automatic Shell Restart
[08/19/2008, 11:47:03] - File to disable: C:\WINDOWS\system32\rqRLccdA.dll
[08/19/2008, 11:47:03] - Renaming C:\WINDOWS\system32\rqRLccdA.dll -> C:\WINDOWS\system32\rqRLccdA.dll.vir
[08/19/2008, 11:47:03] - File successfully renamed!
[08/19/2008, 11:47:03] - Removing HKLM\...\Browser Helper Objects\{1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84}
[08/19/2008, 11:47:03] - Removing HKCR\CLSID\{1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84}
[08/19/2008, 11:47:03] - Adding Kill Bit for ActiveX for GUID: {1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84}
[08/19/2008, 11:47:03] - Deleting ATLEvents/MSEvents Registry entries
[08/19/2008, 11:47:03] - Removing HKLM\...\Winlogon\Notify\rqRLccdA
[08/19/2008, 11:47:03] - Searching for Browser Helper Objects:
[08/19/2008, 11:47:03] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[08/19/2008, 11:47:03] - BHO 2: {7895aa7d-c372-4201-b622-b3b517a06db0} ()
[08/19/2008, 11:47:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/19/2008, 11:47:03] - Checking for HKLM\...\Winlogon\Notify\ikitrs
[08/19/2008, 11:47:03] - Key not found: HKLM\...\Winlogon\Notify\ikitrs, continuing.
[08/19/2008, 11:47:03] - BHO 3: {AAF51A3C-E626-4223-87C4-12A572715F9C} ()
[08/19/2008, 11:47:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/19/2008, 11:47:03] - Checking for HKLM\...\Winlogon\Notify\khfEXoop
[08/19/2008, 11:47:03] - Key not found: HKLM\...\Winlogon\Notify\khfEXoop, continuing.
[08/19/2008, 11:47:03] - Finished Searching Browser Helper Objects
[08/19/2008, 11:47:03] - Finishing up...
[08/19/2008, 11:47:03] - A restart is needed.
[08/19/2008, 11:47:12] - Attempting to Restart via STOP error (Blue Screen!)

Et voilà le nouveau hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53:25, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\logiciels\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\Logiciels\Itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\lphcl73j0e14v.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {19CAF470-E40A-4A9B-A41B-CB2C4E12F876} - C:\WINDOWS\system32\khfEXoop.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: {0bd60a71-5b3b-226b-1024-273cd7aa5987} - {7895aa7d-c372-4201-b622-b3b517a06db0} - C:\WINDOWS\system32\ikitrs.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Logiciels\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [7c3044c4] rundll32.exe "C:\WINDOWS\system32\vlbjscwl.dll",b
O4 - HKLM\..\Run: [lphcl73j0e14v] C:\WINDOWS\system32\lphcl73j0e14v.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80242A8-4F32-4F9F-AFB1-FB4A6E4E9AA8}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\logiciels\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 8 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Très bien ...

1-Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

Imprimes bien la manipe qui va suivre pour ne pas te tromper ( ou fais un copier/coller sur un doc texte que tu sauvegarderas sur ton bureau ) .

2- Télécharges MalwareByte's :
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php

Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

Impératif : redémarres en mode sans échec :
Comment aller en Mode sans échec
1) Redémarres ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tout tes disks avant le scan ) et supprimes tout ce qu'il peut trouver, c.a.d :
--->une fois le scan terminé , click sur "résultat" : puis vérifies que tous les objets infectés soient validés, puis click sur " suppression " .

Redémarres ton PC ( mode normal ).

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes) accompagné d'un nouvel hijackthis ( fait en mode normal ) et attends la suite ...
0
Réponse 9 / 28
dvilla68 Messages postés 30 Statut Membre
 
pour malwarebyte je vais pas pouvoir le mettre à jour sur l'ordi infecté car internet déconne aussi... est-ce qu'il est possible de le mettre à jour sur un autre ordi avant de l'utiliser sur celui infecté?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
possible de le mettre à jour sur un autre ordi avant de l'utiliser sur celui infecté->Non ...

Soit il est déjà à jour , soit celle-ci dure très peut de temps ... donc cela ne devrai pas posé de prb ... ^^
0
Réponse 10 / 28
dvilla68 Messages postés 30 Statut Membre
 
Salut,

j'ai bien tout suivi ce que tu m'as dit, mais quand j'ai redémarré en mode normal, malewarebyte ne m'avait pas sauvé de rapport de log... donc je te poste uniquement le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:31:51, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\logiciels\Adaware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\Logiciels\Itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {C718611C-1E03-4720-A514-ABCDE68CC1E7} - C:\WINDOWS\system32\khfEXoop.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Logiciels\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80242A8-4F32-4F9F-AFB1-FB4A6E4E9AA8}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\logiciels\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 11 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Pour le rapport Malwarebytes :

dans l'onglet "rapport/log" de Malwarebytes , le dernier en date -> double cliques dessus et fait un copier/coller ... postes le dans ta prochaine réponse ...

Une fois ce rapport posté , fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleur !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clik droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix et valide .

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques C-Fix.exe ( = combofix.exe ) .

Appuyes sur la touche Y (Yes) pour démarrer le scan .

Attention :
--> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
--> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
--> si un message d'erreur windows apparait à un momment : clik sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée dans: C:\Combofix.txt

Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
0
Réponse 12 / 28
dvilla68 Messages postés 30 Statut Membre
 
pour le rapport maleware je suis bien allé là où tu m'indiques mais il n'y avair rien... Pourtant il a bien tourné et trouvé vundo!! est ce que je passe à la suite qd meme? sachant que le scan malewarea mis plus de 4h?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Va dans l'onglet " quarantaine de Malwarebytes , et supprimes tout ce qui s'y trouve ...

Ensuite passes à Combofix ...
0
Réponse 13 / 28
dvilla68 Messages postés 30 Statut Membre
 
Ok sinon pour Combofix, impossible de le télécharger sur l'ordi infecté, est-ce que je peux le télécharger sur un autre ordi et le copier coller par clé usb sur l'autre?
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Oui ... pas de prb ... mais tu le renommes bien au téléchargement et tu l'installes
sur le bureau ( et pas ailleurs !) .

Suis bien la procédure à la lettre car avec ce genre d'outil, la moindre erreur
et c'est le plantage assuré ! ;)
0
Réponse 14 / 28
dvilla68 Messages postés 30 Statut Membre
 
après avoir double cliqué sur C-Fix j'ai eu un message "Cfix a détecté la présence d'un rootkit et doit redémarrer l'ordinateur"
0
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
normal .... tu laisses faire ...
0
Réponse 15 / 28
dvilla68 Messages postés 30 Statut Membre
 
Voici le rapport ComboFix:

ComboFix 08-08-18.05 - Famille 2008-08-19 18:10:33.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.218 [GMT 2:00]
Endroit: C:\Documents and Settings\Famille\Bureau\C-Fix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Famille\UserData
C:\Documents and Settings\Famille\UserData\index.dat
C:\WINDOWS\system32\aebgnqpw.dll
C:\WINDOWS\system32\dqompl.dll
C:\WINDOWS\system32\khfEXoop.dll
C:\WINDOWS\system32\oqlacwsu.dll
C:\WINDOWS\system32\pooXEfhk.ini
C:\WINDOWS\system32\pooXEfhk.ini2
C:\WINDOWS\system32\qpqhiisf.ini
C:\WINDOWS\system32\seeswiwx.ini
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.dat
C:\WINDOWS\system32\yxlzxr.dll
H:\autorun.inf

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-19 to 2008-08-19 ))))))))))))))))))))))))))))))))))))
.

2008-08-19 12:43 . 2008-08-19 12:43 <REP> d-------- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Application Data\Malwarebytes
2008-08-19 12:33 . 2008-08-19 12:33 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-19 12:33 . 2008-08-19 12:33 <REP> d-------- C:\Documents and Settings\Famille\Application Data\Malwarebytes
2008-08-19 12:33 . 2008-08-19 12:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-19 12:33 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-19 12:33 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-19 12:24 . 2008-08-19 12:24 <REP> d-------- C:\Program Files\CCleaner
2008-08-19 11:26 . 2008-08-19 11:26 <REP> d-------- C:\Program Files\Trend Micro
2008-08-18 20:22 . 2006-12-27 16:51 <REP> d--h----- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Voisinage r‚seau
2008-08-18 20:22 . 2006-12-27 16:51 <REP> d--h----- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Voisinage d'impression
2008-08-18 20:22 . 2006-12-27 17:23 <REP> d--h----- C:\Documents and Settings\Administrateur.ORDIFAMILLE\ModŠles
2008-08-18 20:22 . 2006-12-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Mes documents
2008-08-18 20:22 . 2006-12-27 16:51 <REP> dr------- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Menu D‚marrer
2008-08-18 20:22 . 2006-12-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Favoris
2008-08-18 20:22 . 2006-12-27 16:51 <REP> d-------- C:\Documents and Settings\Administrateur.ORDIFAMILLE\Bureau
2008-08-18 20:22 . 2008-08-18 20:22 <REP> d-------- C:\Documents and Settings\Administrateur.ORDIFAMILLE
2008-08-14 19:30 . 2008-08-14 19:30 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2008-08-12 18:16 . 2008-08-12 18:16 34,688 --a------ C:\WINDOWS\system32\rqRLccdA.dll.vir
2008-08-05 21:47 . 2008-08-05 21:47 360,320 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2008-08-03 18:39 . 2008-08-19 18:17 1,351,712 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-03 18:39 . 2008-08-19 18:14 17,912 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-03 18:34 . 2008-08-03 18:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-08-03 18:34 . 2008-07-09 09:05 75,248 --a------ C:\WINDOWS\zllsputility.exe
2008-08-03 18:34 . 2008-07-09 09:05 54,672 --a------ C:\WINDOWS\system32\vsutil_loc040c.dll
2008-08-03 18:34 . 2008-07-09 09:05 42,384 --a------ C:\WINDOWS\zllsputility_loc040c.dll
2008-08-03 18:34 . 2008-07-09 09:05 21,904 --a------ C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-08-03 18:34 . 2008-07-09 09:05 17,808 --a------ C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-08-03 18:34 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-08-03 18:34 . 2008-08-03 18:38 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-08-03 18:32 . 2008-08-19 18:01 <REP> d-------- C:\WINDOWS\Internet Logs
2008-08-01 10:27 . 2008-08-01 10:27 <REP> d-------- C:\Program Files\Acoustica Shared Effects
2008-08-01 10:27 . 2008-08-01 10:27 <REP> d-------- C:\Documents and Settings\Famille\Application Data\Acoustica
2008-08-01 10:27 . 2007-08-07 11:32 57,344 --a------ C:\WINDOWS\system32\Wnaspint.dll
2008-08-01 10:12 . 2008-08-02 11:58 <REP> d-------- C:\Program Files\Acoustica Mixcraft 4
2008-08-01 10:12 . 2008-08-01 10:12 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Acoustica
2008-08-01 09:38 . 2008-08-02 10:12 <REP> d-------- C:\Program Files\eMusic Download Manager
2008-07-29 15:15 . 2008-07-29 15:16 <REP> d-------- C:\Program Files\DJ Mix Lite
2008-07-29 09:40 . 2008-08-02 20:14 <REP> d-------- C:\Downloads
2008-07-29 09:40 . 2008-07-29 09:42 <REP> d-------- C:\Documents and Settings\Famille\Application Data\GetRightToGo
2008-07-21 17:03 . 2008-07-21 17:03 <REP> d-------- C:\Program Files\VSO

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-19 15:29 --------- d-----w C:\Documents and Settings\Famille\Application Data\Skype
2008-08-19 10:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-19 10:25 45,568 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-08-19 07:41 66,560 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2008-08-18 22:02 --------- d-----w C:\Program Files\LogMeIn
2008-08-16 06:56 15,872 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2008-08-16 06:56 1,499,648 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-08-14 07:26 3,026,944 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2008-08-14 07:26 1,499,136 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2008-08-13 13:27 1,494,016 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-08-13 05:46 1,488,384 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-08-10 12:41 1,468,928 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-08-05 19:47 360,320 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2008-08-05 19:43 --------- d-----w C:\Documents and Settings\Famille\Application Data\uTorrent
2008-08-03 16:33 --------- d-----w C:\Program Files\Logiciels
2008-08-02 11:17 --------- d-----w C:\Program Files\Soulseek
2008-08-02 08:12 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-30 22:24 --------- d-----w C:\Documents and Settings\Famille\Application Data\Vso
2008-07-14 15:47 --------- d-----w C:\Program Files\Sunbelt Software
2008-07-14 13:32 --------- d-----w C:\Program Files\Avira
2008-07-14 13:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avira
2008-07-14 12:24 --------- d-----w C:\Program Files\Kaspersky Lab
2008-07-14 12:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-07-14 12:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\F-Secure
2008-07-13 15:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-07-13 15:12 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-07-12 15:52 91,744 ----a-w C:\WINDOWS\BPMNT.dll
2008-07-12 15:52 1,213,784 ----a-w C:\WINDOWS\vsapi32.dll
2008-07-12 13:03 71,749 ----a-w C:\WINDOWS\hcextoutput.dll
2008-07-12 13:03 333,576 ----a-w C:\WINDOWS\TSC.exe
2008-07-12 13:01 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-07-12 13:01 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-07-12 13:01 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-07-12 10:17 --------- d-----w C:\Program Files\Java
2008-07-11 15:08 --------- d-----w C:\Program Files\Google
2008-07-11 11:13 --------- d-----w C:\Documents and Settings\Famille\Application Data\TeamViewer
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-06-20 17:41 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 17:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\LogMeIn
2008-05-28 10:33 83,288 ----a-w C:\WINDOWS\system32\LMIRfsClientNP.dll
2008-05-28 10:33 24,608 ----a-w C:\WINDOWS\system32\LMIport.dll
2008-05-28 10:32 87,352 ----a-w C:\WINDOWS\system32\LMIinit.dll
2008-05-28 10:32 23,736 ----a-w C:\WINDOWS\system32\lmimirr.dll
2008-05-28 10:32 10,040 ----a-w C:\WINDOWS\system32\lmimirr2.dll
2008-04-30 08:53 608 --sha-w C:\WINDOWS\system32\winzvprt5.sys
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\tcpip.sys
2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2001-08-28 14:00 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2004-08-04 08:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\TCPIP.SYS
2008-08-05 21:47 360320 3adce4790f591bf160a94f6f08039577 C:\WINDOWS\system32\dllcache\TCPIP.SYS
2008-08-05 21:47 360320 3adce4790f591bf160a94f6f08039577 C:\WINDOWS\system32\drivers\TCPIP.SYS
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-10-18 12:50 20058152]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-01-01 20:16 180269]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 07:32 5537792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 07:32 86016]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"LogMeIn GUI"="C:\Program Files\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 15:31 63048]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"ToolBoxFX"="C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" [2007-07-11 11:34 53248]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="C:\Program Files\Logiciels\Itunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 21:18 266497]
"ZoneAlarm Client"="C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"nwiz"="nwiz.exe" [2005-02-24 07:32 1495040 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 03:17 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2008-05-28 12:32 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XVID"= xvid.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\khfEXoop

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Logiciels\\Utorrent\\utorrent.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"D:\\eMule\\emule.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\Program Files\\Logiciels\\Itunes\\iTunes.exe"=
"C:\\Program Files\\HP\\hp laserjet m1522\\hppfaxnc1.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\x86\RaInfo.sys [2008-02-28 15:31]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2008-03-07 13:39]
R3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2007-08-21 09:35]
R3 HPFXFAX;HPFXFAX;C:\WINDOWS\system32\drivers\hpfxfax.sys [2007-08-21 09:35]
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-SoundMan - soundman.exe
ShellExecuteHooks-{1DBD3F8D-ABC8-4FBA-9CDB-0FEFA3C5AF84} - (no file)

.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Famille\Application Data\Mozilla\Firefox\Profiles\zgs0nyt5.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/
FF -: plugin - C:\Program Files\Logiciels\Itunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 18:16:47
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\logiciels\Adaware\aawservice.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\LogMeIn\x86\ramaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-19 18:19:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-19 16:19:16

Pre-Run: 1,620,848,640 octets libres
Post-Run: 1,610,080,256 octets libres

233 --- E O F --- 2008-07-11 11:49:43

Et Voilà le rapport HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:37, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\logiciels\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\Logiciels\Itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Logiciels\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80242A8-4F32-4F9F-AFB1-FB4A6E4E9AA8}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\logiciels\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 16 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
impeccable ...

1- Télécharges OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
ou http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

Déconnectes toi et fermes toute tes applications en cours .

cliques double sur OTMoveIt.exe pour le lancer.
copies ce qui se trouve en citation ci-dessous,

C:\WINDOWS\system32\rqRLccdA.dll.vir

et colles le dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
--->postes le rapport situé dans " C:\OTMoveIt\MovedFiles."

Note : il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

2- refais un coup de CCleaner ( registre compris ) et redémarres ton PC .

-> dis moi comment va le PC maintenant , du mieux ?

Puis fais ce-ci pour approfondir,

3-Télécharge DiagHelp.zip sur ton bureau :
( note : si ton anti-virus s'affolle lors du téléchargement ou de l'installe, c'est normal , ignore l'alerte ).

-> http://www.malekal.com/download/DiagHelp.zip

!! déconnectes toi et fermes toutes tes applications en cours !!

Fais un clic droit sur le fichier et extraire tout .

--> Un nouveau dossier va être créé : "DiagHelp"
Ouvres le et double-clic sur go.cmd et pas sur autre chose ! (le .cmd peut ne pas apparaître )

--> Une fenêtre va s'ouvrir, choisis l'option 1
L'analyse va commencer, ce-ci peut durer quelques minutes, laisses faire et appuies sur une touche quand on te le demandera :
une page IE va s'ouvrir , fermes la .
Re-appuis sur une touche, le bloc-note s'ouvre :
Sauvegardes ce rapport de façon à le retrouver et postes tout son contenu dans ta prochaine réponse ...
0
Réponse 17 / 28
dvilla68 Messages postés 30 Statut Membre
 
Voici le rapport OTmoveIT:

C:\WINDOWS\system32\rqRLccdA.dll.vir moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08192008_184127

LE PC a l'air d'aller mieux après toutes ces étapes et le passage de CCleaner.

Et voilà le rapport GO.CMD:

DiagHelp version v1.4 - http://www.malekal.com
excute le 19/08/2008 à 18:52:35,31

Liste des derniers fichies modifies/crees dans windir\system32 et prefetch
C:\WINDOWS\prefetch\CMD.EXE-087B4001.pf -->19/08/2008 18:52:30
C:\WINDOWS\prefetch\AVWSC.EXE-347FCF75.pf -->19/08/2008 18:51:57
C:\WINDOWS\prefetch\WINRAR.EXE-06989D98.pf -->19/08/2008 18:51:49
C:\WINDOWS\prefetch\HPTLBXFX.EXE-0415E1A1.pf -->19/08/2008 18:47:42
C:\WINDOWS\prefetch\CVTRES.EXE-2329DCD5.pf -->19/08/2008 18:47:42
C:\WINDOWS\prefetch\CSC.EXE-01730C27.pf -->19/08/2008 18:47:42
C:\WINDOWS\prefetch\WUAUCLT.EXE-399A8E72.pf -->19/08/2008 18:47:41
C:\WINDOWS\prefetch\WMIPRVSE.EXE-28F301A9.pf -->19/08/2008 18:47:41
C:\WINDOWS\prefetch\WGATRAY.EXE-0ED38BED.pf -->19/08/2008 18:47:41
C:\WINDOWS\prefetch\NTOSBOOT-B00DFAAD.pf -->19/08/2008 18:47:41

C:\WINDOWS\System32\drivers\fidbox.dat -->19/08/2008 18:52:19
C:\WINDOWS\System32\drivers\fidbox.idx -->19/08/2008 18:45:32
C:\WINDOWS\System32\drivers\TCPIP.SYS -->05/08/2008 21:47:12
C:\WINDOWS\System32\drivers\TCPIP.SYS.ORIGINAL -->05/08/2008 21:47:11
C:\WINDOWS\System32\drivers\mbamswissarmy.sys -->30/07/2008 20:07:56
C:\WINDOWS\System32\drivers\mbam.sys -->30/07/2008 20:07:52
C:\WINDOWS\System32\drivers\avipbb.sys -->17/07/2008 21:18:38

C:\WINDOWS\System32\wpa.dbl -->19/08/2008 18:47:17
C:\WINDOWS\System32\nvapps.xml -->19/08/2008 18:46:52
C:\WINDOWS\System32\vsconfig.xml -->19/08/2008 18:46:12
C:\WINDOWS\System32\d3d9caps.dat -->14/08/2008 19:30:54
C:\WINDOWS\System32\771380ba-.txt -->14/08/2008 07:00:20
C:\WINDOWS\System32\zllictbl.dat -->03/08/2008 18:38:20
C:\WINDOWS\System32\Thumbs.db -->02/08/2008 20:13:46
C:\WINDOWS\System32\sdkinst.log -->14/07/2008 18:09:36
C:\WINDOWS\System32\perfh00C.dat -->14/07/2008 14:19:20
C:\WINDOWS\System32\perfh009.dat -->14/07/2008 14:19:20
C:\WINDOWS\System32\perfc00C.dat -->14/07/2008 14:19:20
C:\WINDOWS\System32\perfc009.dat -->14/07/2008 14:19:20
C:\WINDOWS\System32\jupdate-1.6.0_07-b06.log -->12/07/2008 12:17:51
C:\WINDOWS\System32\vsutil_loc040c.dll -->09/07/2008 09:05:44
C:\WINDOWS\System32\imslsp_install_loc040c.dll -->09/07/2008 09:05:42
C:\WINDOWS\System32\imsinstall_loc040c.dll -->09/07/2008 09:05:42
C:\WINDOWS\System32\vsdatant.sys -->09/07/2008 09:05:22
C:\WINDOWS\System32\zpeng24.dll -->09/07/2008 09:05:16
C:\WINDOWS\System32\zlcommdb.dll -->09/07/2008 09:05:12
C:\WINDOWS\System32\zlcomm.dll -->09/07/2008 09:05:12
C:\WINDOWS\System32\vsxml.dll -->09/07/2008 09:05:12
C:\WINDOWS\System32\vswmi.dll -->09/07/2008 09:05:12
C:\WINDOWS\System32\vsutil.dll -->09/07/2008 09:05:12
C:\WINDOWS\System32\vsregexp.dll -->09/07/2008 09:05:10
C:\WINDOWS\System32\vspubapi.dll -->09/07/2008 09:05:10

C:\WINDOWS\WindowsUpdate.log -->19/08/2008 18:49:11
C:\WINDOWS\wiadebug.log -->19/08/2008 18:47:27
C:\WINDOWS\QTFont.qfn -->19/08/2008 18:46:57
C:\WINDOWS\0.log -->19/08/2008 18:46:38
C:\WINDOWS\wiaservc.log -->19/08/2008 18:46:32
C:\WINDOWS\bootstat.dat -->19/08/2008 18:46:03
C:\WINDOWS\SchedLgU.Txt -->19/08/2008 18:45:12
C:\WINDOWS\system.ini -->19/08/2008 18:16:17
C:\WINDOWS\tsc.ini -->13/07/2008 18:42:06
C:\WINDOWS\vsapi32.dll -->12/07/2008 17:52:58
C:\WINDOWS\BPMNT.dll -->12/07/2008 17:52:56
C:\WINDOWS\GetServer.ini -->12/07/2008 17:52:38
C:\WINDOWS\tsc.ptn -->12/07/2008 15:03:54
C:\WINDOWS\TSC.exe -->12/07/2008 15:03:53
C:\WINDOWS\hcextoutput.dll -->12/07/2008 15:03:52

winlogon.exe
svchost.exe
Verified: Signed
ws2_32.dll
Verified: Signed
user32.dll
Verified: Signed
tcpip.sys
Verified: Unsigned
ndis.sys
Verified: Signed
null.sys
Verified: Signed

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
explorer.exe pid: 1324
Command line: C:\WINDOWS\Explorer.EXE

Base Size Version Path
0x44080000 0xd0000 7.00.6000.16674 C:\WINDOWS\system32\WININET.dll
0x00400000 0x9000 6.00.5441.0000 C:\WINDOWS\system32\Normaliz.dll
0x43e00000 0x45000 7.00.6000.16674 C:\WINDOWS\system32\iertutil.dll
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\comctl32.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL
0x7d200000 0x2be000 3.01.4000.4039 C:\WINDOWS\system32\msi.dll
0x44360000 0x5cd000 7.00.6000.16674 C:\WINDOWS\system32\ieframe.dll
0x44160000 0x127000 7.00.6000.16674 C:\WINDOWS\system32\urlmon.dll
0x442b0000 0x3c000 7.00.6000.16674 C:\WINDOWS\system32\webcheck.dll
0x164a0000 0x23000 5.02.5721.5145 C:\WINDOWS\system32\WPDShServiceObj.dll
0x109c0000 0x2c000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceTypes.dll
0x10930000 0x49000 5.02.5721.5145 C:\WINDOWS\system32\PortableDeviceApi.dll
0x10000000 0x14000 2.01.0003.0000 C:\WINDOWS\system32\LMIRfsClientNP.dll
0x01370000 0x2d000 D:\logiciels\Winrar\rarext.dll
0x022c0000 0xa7000 2.00.0000.0003 C:\PROGRA~1\VSO\IMAGER~1\RSZShell.dll
0x00ca0000 0xb000 7.00.0483.0000 C:\Program Files\Logiciels\ZoneAlarm\zlavscan.dll
0x01320000 0x4000 5.03.0017.0000 C:\Program Files\Logiciels\ZoneAlarm\zlavscan_Loc040c.dll
0x02b30000 0x12000 7.00.0000.0015 C:\Program Files\Avira\AntiVir PersonalEdition Classic\shlext.dll
0x7c250000 0x102000 7.10.3077.0000 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MFC71U.DLL
0x02b50000 0x56000 7.10.3052.0004 C:\Program Files\Avira\AntiVir PersonalEdition Classic\MSVCR71.dll
0x02bb0000 0x12000 1.01.0000.0000 C:\Program Files\Malwarebytes' Anti-Malware\mbamext.dll
0x03170000 0x5b000 8.01.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll
0x78130000 0x9b000 8.00.50727.1433 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
0x031d0000 0x4c000 8.00.0000.0000 C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA

ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com

------------------------------------------------------------------------------
winlogon.exe pid: 552
Command line: winlogon.exe

Base Size Version Path
0x01000000 0x81000 \??\C:\WINDOWS\system32\winlogon.exe
0x58b50000 0x9a000 5.82.2900.2982 C:\WINDOWS\system32\COMCTL32.dll
0x74730000 0x3d000 3.525.1117.0000 C:\WINDOWS\system32\ODBC32.dll
0x20000000 0x18000 3.525.1117.0000 C:\WINDOWS\system32\odbcint.dll
0x10000000 0x15000 4.00.0000.0734 C:\WINDOWS\system32\LMIinit.dll
0x012c0000 0x3b000 1.07.0017.0000 C:\WINDOWS\system32\WgaLogon.dll
0x76f80000 0x7f000 2001.12.4414.0308 C:\WINDOWS\system32\CLBCATQ.DLL
0x77000000 0xd4000 2001.12.4414.0258 C:\WINDOWS\system32\COMRes.dll
0x01290000 0x14000 2.01.0003.0000 C:\WINDOWS\system32\LMIRfsClientNP.dll
0x76ac0000 0x11000 3.05.2284.0000 C:\WINDOWS\system32\ATL.DLL

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C30-446B

Répertoire de C:\WINDOWS\system32

20/08/2004 01:09 6 144 csrss.exe
1 fichier(s) 6 144 octets
0 Rép(s) 1 606 250 496 octets libres

Contenu de Downloaded Program Files
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C30-446B

Répertoire de C:\WINDOWS\Downloaded Program Files

24/07/2008 08:39 <REP> .
24/07/2008 08:39 <REP> ..
27/12/2006 17:26 65 desktop.ini
11/04/2007 14:55 1 292 erma.inf
28/02/2008 15:30 71 248 LMIProxyHelper.exe
19/05/2008 14:57 2 774 344 RACtrl.dll
19/05/2008 14:52 663 RACtrl.inf
09/11/2006 15:36 5 019 swflash.inf
28/02/2008 15:33 245 408 unicows.dll
30/07/2007 19:24 293 wuweb.inf
02/11/2005 18:01 1 777 xscan.inf
02/11/2005 18:07 435 712 xscan53.ocx
10 fichier(s) 3 535 821 octets

Total des fichiers listés :
10 fichier(s) 3 535 821 octets
2 Rép(s) 1 606 246 400 octets libres

Recherche de rootkit! (Merci S!Ri)

Recherche d'infections connues

Export des clefs sensibles..

Liste des fichiers en exception sur le pare-feu XP SP2

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Logiciels\\Utorrent\\utorrent.exe"="C:\\Program Files\\Logiciels\\Utorrent\\utorrent.exe:*:Enabled:µTorrent"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"D:\\eMule\\emule.exe"="D:\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\Program Files\\Logiciels\\Itunes\\iTunes.exe"="C:\\Program Files\\Logiciels\\Itunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\HP\\hp laserjet m1522\\hppfaxnc1.exe"="C:\\Program Files\\HP\\hp laserjet m1522\\hppfaxnc1.exe:*:Enabled:HP Networked Printer Installer"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Export de la clef SharedTaskScheduler

[SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

exports des policies
REGEDIT4

[system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"DisableRegistryTools"=dword:00000000
"HideLegacyLogonScripts"=dword:00000000
"HideLogoffScripts"=dword:00000000
"RunLogonScriptSync"=dword:00000001
"RunStartupScriptSync"=dword:00000000
"HideStartupScripts"=dword:00000000

Export des clefs sensibles..
Rechercher adresses sensibles dans le fichier HOSTS...
catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 18:53:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000161

scanning hidden files ...

scan completed successfully
hidden services: 0
hidden files: 0

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Process list by traversal of KiWaitListHead

4 - System
192 - LogMeIn.exe
264 - LMIGuardian.exe
320 - MDM.EXE
504 - svchost.exe
528 - csrss.exe
552 - winlogon.exe
596 - services.exe
608 - lsass.exe
776 - svchost.exe
832 - svchost.exe
896 - svchost.exe
984 - svchost.exe
1072 - svchost.exe
1212 - vsmon.exe
1324 - explorer.exe
1520 - aawservice.exe
1620 - spoolsv.exe
1668 - sched.exe
1912 - avguard.exe
1924 - AppleMobileDevi
1960 - svchost.exe
2068 - alg.exe
2376 - LogMeInSystray.
2536 - HPTLBXFX.exe
2564 - iTunesHelper.ex
2620 - avgnt.exe
2628 - LMIGuardian.exe
2636 - zlclient.exe
2672 - Skype.exe
2688 - ctfmon.exe
2888 - iPodService.exe
3108 - wmiprvse.exe
3908 - cmd.exe

Total number of processes = 34
NOTE: Under WinXP, this will not show all processes.

KProcCheck Version 0.2-beta1 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F8AB6000 - \WINDOWS\system32\KDCOM.DLL
F89C6000 - \WINDOWS\system32\BOOTVID.dll
F8566000 - ACPI.sys
F8AB8000 - \WINDOWS\System32\DRIVERS\WMILIB.SYS
F8555000 - pci.sys
F85B6000 - isapnp.sys
F8ABA000 - viaide.sys
F8836000 - \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
F85C6000 - MountMgr.sys
F8536000 - ftdisk.sys
F883E000 - PartMgr.sys
F85D6000 - VolSnap.sys
F851E000 - atapi.sys
F85E6000 - disk.sys
F85F6000 - \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
F84FE000 - fltmgr.sys
F84EC000 - sr.sys
F8606000 - PxHelp20.sys
F84D5000 - KSecDD.sys
F8448000 - Ntfs.sys
F841B000 - NDIS.sys
F8616000 - viaagp.sys
F8407000 - srescan.sys
F83EC000 - Mup.sys
F87E6000 - \SystemRoot\System32\DRIVERS\amdk7.sys
F8058000 - \SystemRoot\System32\DRIVERS\nv4_mini.sys
F8044000 - \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
F88C6000 - \SystemRoot\system32\DRIVERS\usbohci.sys
F8021000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F88CE000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F88D6000 - \SystemRoot\System32\DRIVERS\RTL8029.SYS
F8806000 - \SystemRoot\System32\DRIVERS\i8042prt.sys
F88DE000 - \SystemRoot\System32\DRIVERS\kbdclass.sys
F8816000 - \SystemRoot\System32\DRIVERS\cdrom.sys
F8826000 - \SystemRoot\System32\DRIVERS\redbook.sys
F7FFE000 - \SystemRoot\System32\DRIVERS\ks.sys
F8A62000 - \SystemRoot\System32\Drivers\GEARAspiWDM.sys
F8646000 - \SystemRoot\System32\Drivers\Imapi.SYS
F88E6000 - \SystemRoot\System32\DRIVERS\usbuhci.sys
F7FB9000 - \SystemRoot\system32\drivers\ALCXWDM.SYS
F7F95000 - \SystemRoot\system32\drivers\portcls.sys
F8656000 - \SystemRoot\system32\drivers\drmk.sys
F88EE000 - \SystemRoot\System32\DRIVERS\fdc.sys
F7F84000 - \SystemRoot\System32\DRIVERS\serial.sys
F8A6E000 - \SystemRoot\System32\DRIVERS\serenum.sys
F7F26000 - \SystemRoot\System32\DRIVERS\parport.sys
F8A72000 - \SystemRoot\System32\DRIVERS\gameenum.sys
F8BFC000 - \SystemRoot\system32\drivers\msmpu401.sys
F8BFD000 - \SystemRoot\system32\DRIVERS\lmimirr.sys
F8BFE000 - \SystemRoot\System32\DRIVERS\audstub.sys
F8666000 - \SystemRoot\System32\DRIVERS\rasl2tp.sys
F8A76000 - \SystemRoot\System32\DRIVERS\ndistapi.sys
F7F0F000 - \SystemRoot\System32\DRIVERS\ndiswan.sys
F8676000 - \SystemRoot\System32\DRIVERS\raspppoe.sys
F8686000 - \SystemRoot\System32\DRIVERS\raspptp.sys
F88F6000 - \SystemRoot\System32\DRIVERS\TDI.SYS
F7EFE000 - \SystemRoot\System32\DRIVERS\psched.sys
F8696000 - \SystemRoot\System32\DRIVERS\msgpc.sys
F88FE000 - \SystemRoot\System32\DRIVERS\ptilink.sys
F8906000 - \SystemRoot\System32\DRIVERS\raspti.sys
F86A6000 - \SystemRoot\System32\DRIVERS\termdd.sys
F890E000 - \SystemRoot\System32\DRIVERS\mouclass.sys
F8AC8000 - \SystemRoot\System32\DRIVERS\swenum.sys
F7EA2000 - \SystemRoot\System32\DRIVERS\update.sys
F8A8A000 - \SystemRoot\System32\DRIVERS\mssmbios.sys
F86B6000 - \SystemRoot\System32\Drivers\NDProxy.SYS
F86C6000 - \SystemRoot\System32\DRIVERS\usbhub.sys
F8ACA000 - \SystemRoot\System32\DRIVERS\USBD.SYS
F8916000 - \SystemRoot\System32\DRIVERS\flpydisk.sys
F6CB7000 - \SystemRoot\system32\DRIVERS\klif.sys
F83B8000 - \SystemRoot\System32\DRIVERS\hidusb.sys
F86E6000 - \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
F8926000 - \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
F8ACE000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F8CEB000 - \SystemRoot\System32\Drivers\Null.SYS
F8AD0000 - \SystemRoot\System32\Drivers\Beep.SYS
F8CEC000 - \SystemRoot\System32\Drivers\VIAPFD.SYS
F892E000 - \SystemRoot\System32\drivers\vga.sys
F8AD2000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F8AD4000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F8936000 - \SystemRoot\System32\Drivers\Msfs.SYS
F893E000 - \SystemRoot\System32\Drivers\Npfs.SYS
F83B4000 - \SystemRoot\System32\DRIVERS\rasacd.sys
F6C64000 - \SystemRoot\System32\DRIVERS\ipsec.sys
F6C0C000 - \SystemRoot\System32\DRIVERS\tcpip.sys
F6BE4000 - \SystemRoot\System32\DRIVERS\netbt.sys
F6B84000 - \SystemRoot\System32\vsdatant.sys
F6B63000 - \SystemRoot\System32\DRIVERS\ipnat.sys
F86F6000 - \SystemRoot\System32\DRIVERS\wanarp.sys
F6B41000 - \SystemRoot\System32\drivers\afd.sys
F8706000 - \SystemRoot\System32\DRIVERS\netbios.sys
F8946000 - \SystemRoot\system32\DRIVERS\ssmdrv.sys
F6B16000 - \SystemRoot\System32\DRIVERS\rdbss.sys
F6A7F000 - \SystemRoot\System32\DRIVERS\mrxsmb.sys
F8726000 - \SystemRoot\System32\Drivers\Fips.SYS
F6A6E000 - \SystemRoot\system32\DRIVERS\avipbb.sys
F8AD8000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys
F8A5E000 - \SystemRoot\System32\DRIVERS\mouhid.sys
F8756000 - \SystemRoot\System32\Drivers\Cdfs.SYS
F895E000 - \SystemRoot\System32\DRIVERS\usbccgp.sys
F7EFA000 - \SystemRoot\System32\DRIVERS\usbscan.sys
F8966000 - \SystemRoot\System32\DRIVERS\usbprint.sys
F896E000 - \SystemRoot\system32\drivers\hpfxbulk.sys
F8766000 - \SystemRoot\system32\drivers\hpfxgen.sys
F8776000 - \SystemRoot\system32\drivers\hpfxfax.sys
F6A56000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F8AEA000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
F7EDA000 - \SystemRoot\System32\drivers\Dxapi.sys
F897E000 - \SystemRoot\System32\watchdog.sys
BF000000 - \SystemRoot\System32\drivers\dxg.sys
F8CB8000 - \SystemRoot\System32\drivers\dxgthk.sys
BF012000 - \SystemRoot\System32\nv4_disp.dll
F5A7E000 - \SystemRoot\System32\DRIVERS\ndisuio.sys
F50A3000 - \SystemRoot\System32\Drivers\Fastfat.SYS
F4DF7000 - \SystemRoot\System32\DRIVERS\mrxdav.sys
F4DBA000 - \SystemRoot\system32\drivers\wdmaud.sys
F4F83000 - \SystemRoot\system32\drivers\sysaudio.sys
F8AE0000 - \SystemRoot\System32\Drivers\ParVdm.SYS
F8AE4000 - \??\C:\Program Files\LogMeIn\x86\RaInfo.sys
F4B32000 - \SystemRoot\System32\DRIVERS\srv.sys
F4D2C000 - \??\C:\WINDOWS\system32\drivers\LMIRfsDriver.sys
F4A7E000 - \??\C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys
F4B02000 - \SystemRoot\System32\DRIVERS\secdrv.sys
F455D000 - \SystemRoot\System32\Drivers\HTTP.sys
BFFA0000 - \SystemRoot\System32\ATMFD.DLL
F2F35000 - \SystemRoot\system32\drivers\kmixer.sys
F8C7D000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 130

Liste des programmes installes

Acoustica Effects Pack
Ad-Aware
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Français
Adobe Reader 8.1.2 Security Update 1 (KB403742)
Ahead Nero Burning ROM
Apple Mobile Device Support
Apple Software Update
µTorrent
Audacity 1.2.6
AusLogics Disk Defrag 1.1
Avance AC'97 Audio
Avira AntiVir Personal - Free Antivirus
Canon MP Toolbox 4.1
CCleaner (remove only)
CDex extraction audio
Correctif pour Lecteur Windows Media 11 (KB939683)
Correctif pour Windows Internet Explorer 7 (KB947864)
Destination Component
DeviceDiscovery
DeviceManagementQFolder
DJ Mix Lite
Google Earth
HP LaserJet M1522 MFP Series 1.0
hppFaxDrvM1522
hppFaxUtility
hppFonts
hppIOFiles
hppLJM1522
hppManualsM1522
hppscanM1522
hppScanTo
hppSendFax
hppTLBXFXM1522
hpzTLBXFX
IsoBuster 2.2
iTunes
Java(TM) 6 Update 3
Java(TM) 6 Update 5
Java(TM) 6 Update 7
Java(TM) SE Runtime Environment 6 Update 1
K-Lite Codec Pack 2.81 Full
Lecteur Windows Media 11
LogMeIn
Malwarebytes' Anti-Malware
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Professional Edition 2003
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB936782)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB928090)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB929969)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB931768)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB933566)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB937143)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB938127)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB939653)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB942615)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB944533)
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)
Mise à jour de sécurité pour Windows XP (KB921503)
Mise à jour de sécurité pour Windows XP (KB933729)
Mise à jour de sécurité pour Windows XP (KB936021)
Mise à jour de sécurité pour Windows XP (KB938829)
Mise à jour de sécurité pour Windows XP (KB941202)
Mise à jour de sécurité pour Windows XP (KB941568)
Mise à jour de sécurité pour Windows XP (KB941569)
Mise à jour de sécurité pour Windows XP (KB941644)
Mise à jour de sécurité pour Windows XP (KB941693)
Mise à jour de sécurité pour Windows XP (KB943055)
Mise à jour de sécurité pour Windows XP (KB943460)
Mise à jour de sécurité pour Windows XP (KB943485)
Mise à jour de sécurité pour Windows XP (KB944653)
Mise à jour de sécurité pour Windows XP (KB945553)
Mise à jour de sécurité pour Windows XP (KB946026)
Mise à jour de sécurité pour Windows XP (KB948590)
Mise à jour de sécurité pour Windows XP (KB948881)
Mise à jour de sécurité pour Windows XP (KB950749)
Mise à jour de sécurité pour Windows XP (KB950760)
Mise à jour de sécurité pour Windows XP (KB950762)
Mise à jour de sécurité pour Windows XP (KB951376-v2)
Mise à jour de sécurité pour Windows XP (KB951376)
Mise à jour de sécurité pour Windows XP (KB951698)
Mise à jour de sécurité pour Windows XP (KB951748)
Mise à jour pour Windows XP (KB932823-v3)
Mise à jour pour Windows XP (KB933360)
Mise à jour pour Windows XP (KB938828)
Mise à jour pour Windows XP (KB942763)
Mozilla Firefox (3.0.1)
MSXML 4.0 SP2 (KB936181)
neroxml
NVIDIA Drivers
Picasa 2
Pilotes Canon MP
Product_Min_QFolder
QuickTime
RealPlayer
Scan
Sid Meier's Civilization 4
Sid Meier's Civilization 4
Skype 2.5
Spybot - Search & Destroy
Video Convert Master v3.5
VideoLAN VLC media player 0.8.6a
VSO Image Resizer 2.0.1.9
WebFldrs XP
WebReg
Windows Genuine Advantage Notifications (KB905474)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Genuine Advantage Validation Tool (KB892130)
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Media Format 11 runtime
Windows XP Service Pack 2
WinRAR archiver
ZoneAlarm

Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C30-446B

Répertoire de C:\Program Files

19/08/2008 12:33 <REP> .
19/08/2008 12:33 <REP> ..
02/08/2008 11:58 <REP> Acoustica Mixcraft 4
01/08/2008 10:27 <REP> Acoustica Shared Effects
08/07/2008 18:42 <REP> Adobe
09/05/2008 19:04 <REP> Apple Software Update
27/12/2006 21:34 <REP> Avance Sound Manager
14/07/2008 15:32 <REP> Avira
30/04/2007 10:44 <REP> Canon
19/08/2008 12:24 <REP> CCleaner
04/03/2007 20:17 <REP> CDex_170b2
27/12/2006 17:24 <REP> ComPlus Applications
29/07/2008 15:16 <REP> DJ Mix Lite
02/08/2008 10:12 <REP> eMusic Download Manager
19/08/2008 18:13 <REP> Fichiers communs
11/07/2008 17:08 <REP> Google
30/04/2008 10:45 <REP> Hewlett-Packard
14/03/2008 22:29 <REP> Hofmann
30/04/2008 10:45 <REP> HP
11/06/2008 23:17 <REP> Internet Explorer
09/05/2008 19:14 <REP> iPod
12/07/2008 12:17 <REP> Java
14/07/2008 14:24 <REP> Kaspersky Lab
23/08/2007 20:08 <REP> Lavasoft
03/08/2008 18:33 <REP> Logiciels
19/08/2008 00:02 <REP> LogMeIn
19/08/2008 12:33 <REP> Malwarebytes' Anti-Malware
28/12/2006 09:01 <REP> Messenger
27/12/2006 17:27 <REP> microsoft frontpage
27/12/2006 21:22 <REP> Microsoft Office
27/12/2006 21:22 <REP> Microsoft Visual Studio
27/12/2006 21:22 <REP> Microsoft Works
27/12/2006 21:23 <REP> Microsoft.NET
02/03/2007 21:57 <REP> Movie Maker
19/08/2008 18:01 <REP> Mozilla Firefox
27/12/2006 17:24 <REP> MSN
27/12/2006 17:23 <REP> MSN Gaming Zone
27/04/2007 12:15 <REP> MSN Messenger
27/08/2007 14:39 <REP> MSXML 4.0
27/12/2006 23:40 <REP> NetMeeting
13/06/2007 22:02 <REP> Outlook Express
10/10/2007 13:59 <REP> Picasa2
09/05/2008 19:13 <REP> QuickTime
01/01/2007 20:16 <REP> Real
27/12/2006 17:26 <REP> Services en ligne
01/01/2007 20:12 <REP> Skype
27/12/2006 20:47 <REP> Softwin
02/08/2008 13:17 <REP> Soulseek
14/07/2008 17:47 <REP> Sunbelt Software
19/08/2008 11:26 <REP> Trend Micro
03/03/2007 11:40 <REP> Video Convert Master
23/02/2007 19:36 <REP> VideoLAN
21/07/2008 17:03 <REP> VSO
29/12/2006 11:04 <REP> Windows Media Connect 2
04/04/2008 19:45 <REP> Windows Media Player
27/12/2006 23:39 <REP> Windows NT
27/12/2006 17:27 <REP> xerox
0 fichier(s) 0 octets
57 Rép(s) 1 601 179 648 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C30-446B

Répertoire de C:\Program Files\fichiers communs

19/08/2008 18:13 <REP> .
19/08/2008 18:13 <REP> ..
18/02/2008 20:30 <REP> Adobe
23/09/2007 16:26 <REP> Ahead
14/08/2007 13:09 <REP> Apple
27/12/2006 21:22 <REP> DESIGNER
30/04/2008 10:45 <REP> Hewlett-Packard
30/04/2008 10:54 <REP> HP
01/01/2007 20:14 <REP> InstallShield
27/04/2007 12:31 <REP> Java
27/12/2006 21:23 <REP> Microsoft Shared
27/12/2006 17:25 <REP> MSSoap
27/12/2006 16:51 <REP> ODBC
01/01/2007 20:17 <REP> Real
27/12/2006 17:25 <REP> Services
01/12/2007 16:08 <REP> Softwin
27/12/2006 16:51 <REP> SpeechEngines
13/06/2007 22:08 <REP> System
13/07/2008 17:12 <REP> Wise Installation Wizard
01/01/2007 20:17 <REP> xing shared
0 fichier(s) 0 octets
20 Rép(s) 1 601 179 648 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 7C30-446B

Répertoire de C:\Program Files\fichiers communs\Microsoft Shared\Web Folders

27/12/2006 21:22 <REP> .
27/12/2006 21:22 <REP> ..
27/12/2006 21:22 <REP> 1033
27/12/2006 21:22 <REP> 1036
11/07/2003 11:15 1 292 872 MSONSEXT.DLL
15/07/2003 07:52 35 896 MSOSV.DLL
03/06/1999 15:09 122 937 MSOWS409.DLL
07/03/2001 10:00 127 033 MSOWS40c.DLL
11/07/2003 03:25 80 448 PKMWS.DLL
5 fichier(s) 1 659 186 octets
4 Rép(s) 1 601 179 648 octets libres

c:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.6.2.9\iTunesSetupAdmin.exe
c:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\French\setup.exe
c:\Documents and Settings\Famille\Bureau\C-Fix.exe
c:\Documents and Settings\Famille\Bureau\OTMoveIt2.exe
c:\Documents and Settings\Famille\Bureau\SmitfraudFix.exe
c:\Documents and Settings\Famille\Bureau\VirtumundoBeGone.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\catchme.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\diff.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\dumphive.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\FilesInfoCmd.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\find2.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\Fport.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\grep.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\gzip.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\KProcCheck.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\LFiles.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\LISTDLLS.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\md5sums.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\pslist.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\sigcheck.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\streams.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\swreg.exe
c:\Documents and Settings\Famille\Bureau\DiagHelp\DiagHelp\tar.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\antivir-personal-edition_antivir_personal_8.1.0.46_anglais_10821.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\install_flash_player.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\isobuster_all_lang.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\Lavasoft_Adaware2007_fr.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\spybotsd14.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\spybotsd152.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\Sunbelt-Personal-Firewall.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\zaSetup_fr.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\ClearProg_1.5.0_Final\ClearProg.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\eMule0.49b\eMule0.49b\emule.exe
c:\Documents and Settings\Famille\Mes documents\Divers\téléchargements\tnt2 xp\tnt2 xp\tnt2 71.84_win2kxp_english.exe
c:\Documents and Settings\Famille\temp\TeamViewer3\SAS.exe
c:\Documents and Settings\Famille\temp\TeamViewer3\TeamViewer.exe
c:\Documents and Settings\Famille\temp\TeamViewer3\TeamViewer_.exe
c:\Documents and Settings\Famille\temp\TeamViewer3\TeamViewer_Host.exe
c:\Documents and Settings\All Users\Application Data\HP\Digital Imaging\Data\hpqd_cul_s.dll
c:\Documents and Settings\All Users\Application Data\HP\Digital Imaging\Data\Destination\aiopfl.dll
c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll
c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

****** Fin du rapport DiagHelp
Veuillez svp envoyer le fichier C:\upload_moi_ORDIFAMILLE.tar.gz a l'adresse http://upload.malekal.com
0
Réponse 18 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
très bien ... le log est propre ...

1- Mets à jours ce qui suit, c'est important ( des version pas à jours = failles de sécurité ) :
* Adobe Reader :
télécharges et installes la dernière version ici (désinstalles avant l'ancienne version via son propre prg de désinstallation):
http://www.commentcamarche.net/telecharger/telecharger 27 acrobat reader

2- refais un scan hijackthis et postes le nouveau rapport obtenu pour contrôle ... Ensuite on pourra finaliser ...

0
Réponse 19 / 28
dvilla68 Messages postés 30 Statut Membre
 
Voilà le rapport Hijack this, et j'ai mis Adobe à jour

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:56, on 19/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
D:\logiciels\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Program Files\Logiciels\Itunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Program Files\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\Logiciels\Itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Logiciels\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80242A8-4F32-4F9F-AFB1-FB4A6E4E9AA8}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\logiciels\Adaware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
0
Réponse 20 / 28
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Très bien ...

fais ce qui suit dans l'ordre :

1-Fermes toutes tes applications et déconnectes toi .

Relances Hijackthis mais click sur " Do a scan only "
Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide .
Tu vas cliquer sur les carrés des lignes suivantes :

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Tu cliques en bas sur le bouton FIX CHECKED et valides .

2- Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le .
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long).
*Cliques sur Suppression pour finaliser.
*Tu peux, si tu le souhaites, te servir des Options facultatives
*Click sur "quitter" pour générer un rapport :
---> Postes le (TCleaner.txt), il se trouve à la racine de ton disque dur (C:\).

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ... ( gardes CCleaner et Malwarebytes : très utiles ) .

Une fois ce rapport posté , enchaine par ce -ci :

3-Restauration système
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarres ton PC

4- Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :
https://www.bitdefender.fr/
(pour le rapport ,qui est un doc IE , clik sur l'onglet "plus de détailles" : et à la fin du scan tu demandes à le sauvegarder sur ton bureau)

--->fais un copier/coller et postes le rapport dans ta prochaine réponse ...

Aide : En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
Dans la nouvelle fenêtre, clique sur j’accepte .
La fenêtre change encore, clique sur scanner .
Les signatures se chargent, etc ...

Tutoriel en images ici :
http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
Et ici : http://www.commentcamarche.net/faq/sujet 8872 scanner en ligne avec bitdefender
0

Discussions similaires

Signification "TR"
andromeid -
matrix4422 -

3 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
QuickShare c'est quoi ce truc
edelweiss2604 -
edelweiss2604 -

41 réponses