Trojan qui bloque Explorer, et me fait ramer Résolu/Fermé

Question

Bonjour, à tous.

Je pense que mon titre de sujet est assai explicite, les détails sont le fait que je suis rentrai sur un site et une fois dessus j'ai était infecté du coup j'ai fait une analyse avec "Avast! Antivirus" au démarrage, cela n'a rien donner il me demande de supprimer je le fait mais sa marche pas alors j'ai tenter la quarantaine sa donne toujours rien. Ce qui démontre que je suis infecté c'est que dès que je click sur I Explorer sa plante le pc entier et je peut plus rien à par redémarrer, ensuite Counter Strike Source me fait des rapport au d'erreurs au lancement, j'ai un fond d'écran avec une fenêtre Message D'erreur Windows, et puis dès que je laisse le pc inactif sa fait un écran bleu avec le chargement Windows (du demarrage) et des que j'appuie sur Entrer sa reviens normalement. Je peut ni installer spybot, ni aller sur des sites scan en ligne car I explorer plante et firefox me fait Connexion Echouer et ma connexion rame énormément.
Donc si quelqu'un aurai une solution sa serait vraiment super sympa car je comprend rien.

Merci d'avance

Destrio5 · Answer

Salut,

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

fleo13 · Answer

Merci, j'aimerai mais sa me fait connexion échoué sa veut pas marcher :'( (j'utilise firefox)

fleo13 · Answer

C'est bon j'ai réussi à installer, c'est en français, je lance Exament Rapide ou Complet?

Destrio5 · Answer

?????????

fleo13 · Answer

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1012
Windows 5.1.2600 Service Pack 2

23:32:53 23/08/2008
mbam-log-8-23-2008 (23-32-52).txt

Type de recherche: Examen rapide
Eléments examinés: 53485
Temps écoulé: 6 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 17
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.SoftMate) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.SoftMate) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{02715e47-5a8e-495b-8f63-0d30470b8e72} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows update loader (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
D:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
D:\WINDOWS\system32\lphca1vj0e963.exe (Trojan.FakeAlert) -> No action taken.
D:\WINDOWS\system32\phca1vj0e963.bmp (Trojan.FakeAlert) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt15.tmp (Trojan.Agent) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt6.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt8.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.ttA.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.ttC.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.
D:\Documents and Settings\sofian\Local Settings\Temp\.ttE.tmp (Trojan.Downloader) -> No action taken.

Destrio5 · Answer

Supprime tout ce qu'il trouve.

fleo13 · Answer

Ok.

fleo13 · Answer

J'ai fait touts ce dont tu m'as dis, j'ai toujours le meme problème au niveau de CSS et de I Explorer le plus important c'est IE parce-que dès que je click dessus sa fait un "bip" et puis plus rien fonctionne. J'ai vraiment besoin d'aide s'ils vous plait.

Destrio5 · Answer

Fais ceci :
http://www.commentcamarche.net/forum/affich 8046942 trojan qui bloque explorer et me fait ramer#1

fleo13 · Answer

J'ai déjà fait une analyse rapide, là j'ai lancer un exament complet, je te tien au courant

Destrio5 · Answer

Je ne parle pas de MBAM mais de HijackThis.

fleo13 · Answer

Le telechagement ne veut pas ce lancer, c'est par rapport à mon trojan je pense parceque j'ai esseyer de le telecharger via 01net sa donne rien aussi le telechargement ce lance mais il ce finalise pas (j'ai jamais vue çà)

Destrio5 · Answer

https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/

fleo13 · Answer

Merci Beaucoup de ton aide c'est super sympa !!! 1000x merci!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:50:26, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\Paltalk Messenger\paltalk.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\WINDOWS\System32
vsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\alg.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.ircfast.com/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0A94B116-4504-4e26-AB05-E61E474AA38B} - D:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\oembios.exe,
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: Ask Search Assistant BHO - {0A94B111-4504-4e26-AB05-E61E474AA38B} - D:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL
O2 - BHO: (no name) - {0F266ED8-DF98-4763-8FEA-EAA73071CD56} - (no file)
O2 - BHO: (no name) - {4AA39620-8A0D-467D-9744-91365CC9824D} - D:\WINDOWS\system32\urqrQJDU.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {BD68F8AD-360C-4950-8F92-BF791A50973E} - (no file)
O2 - BHO: (no name) - {D0F2C1DC-BF0E-4C5E-9E04-83B51B3B3410} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: PalTalk.lnk = D:\Program Files\Paltalk Messenger\paltalk.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - D:\Program Files\Paltalk Messenger\Paltalk.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O20 - Winlogon Notify: khfCuRhh - khfCuRhh.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Destrio5 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

fleo13 · Answer

J'ai esseyer par plusieurs moyens de prendre ultérieurement ComboFix, mais je peut toujours pas le telecharger sa ne marche pas

Destrio5 · Answer

Comment ça ?

fleo13 · Answer

Le téléchargement ne ce lance pas. J'ai la fenetre de téléchargement qui s'ouvre il m'indique que le fichiers est fini ensuite je click sur ouvrir et y a un message avec écrit dedans " ComboFix n'existe pas. Il a peut-etre été renommé, ou effacé depuis qu'il a été télécharger."

Destrio5 · Answer

Mais est-ce qu'il est sur le bureau ?

fleo13 · Answer

Non, c'est çà qui m'intrigue

Destrio5 · Answer

T'as redémarré pour voir ?

fleo13 · Answer

Je viens de redémarrer à l'instant et sa donne toujours rien, c'est vraiment bizarre ( si c'est pas trop te demander si tu pourrais me l'envoyer par msn, car je vois pas d'autres solution... )

Destrio5 · Answer

Ok mais je le mets dans une archive.

Destrio5 · Answer

Il me faut ton adresse mail.

fleo13 · Answer

Message Privée

Destrio5 · Answer

* Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

* Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
* Redémarre le PC en mode sans échec :
https://www.malekal.com/demarrer-windows-mode-sans-echec/
* Choisis ton compte.

Déroule la liste des instructions ci-dessous :
* Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
* Appuie sur Y pour commencer le nettoyage.
* Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
* Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du bureau, l'outil aura terminé et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
* Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
* Enfin, copie/colle le rapport du fichier Report.txt.

fleo13 · Answer

[b]SDFix: Version 1.218 [/b]
Run by sofian on 24/08/2008 at 02:35

Microsoft Windows XP [version 5.1.2600]
Running From: D:\Documents and Settings\sofian\Bureau\sdfix\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt11.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt13.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt17.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt18.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt1B.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt80.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp\.tt83.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp	ds7F.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp	mp5.tmp - Deleted
D:\DOCUME~1\sofian\LOCALS~1\Temp	mp5.tmp - Deleted
D:\WINDOWS\system32\a.exe - Deleted
D:\WINDOWS\system32\drivers	dssserv.sys  - Deleted
D:\WINDOWS\system32	dssadw.dll  - Deleted
D:\WINDOWS\system32	dssinit.dll  - Deleted
D:\WINDOWS\system32	dssl.dll  - Deleted
D:\WINDOWS\system32	dsslog.dll  - Deleted
D:\WINDOWS\system32	dssmain.dll  - Deleted
D:\WINDOWS\system32	dssservers.dat  - Deleted



Folder D:\Documents and Settings\sofian\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-24 02:46:35
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b0d623ba3]
"0017d58f8f8c"=hex:5c,38,84,d0,73,37,88,df,fe,a9,29,5a,e1,16,52,54
"001c43f0c731"=hex:8f,e9,2e,dc,aa,65,6b,6a,7a,21,89,fe,1d,c0,bf,a4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:bc,53,19,f0,64,59,0e,73,b8,bc,d0,da,33,7c,4d,81,1c,07,e6,1c,3a,..
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services	dssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers	dssserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b0d623ba3]
"0017d58f8f8c"=hex:5c,38,84,d0,73,37,88,df,fe,a9,29,5a,e1,16,52,54
"001c43f0c731"=hex:8f,e9,2e,dc,aa,65,6b,6a,7a,21,89,fe,1d,c0,bf,a4
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:bc,53,19,f0,64,59,0e,73,b8,bc,d0,da,33,7c,4d,81,1c,07,e6,1c,3a,..
"p0"="D:\Program Files\Alcohol Soft\Alcohol 120\"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services	dssserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers	dssserv.sys"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
"LoadAppInit_DLLs"=dword:00000001

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Program Files\Alwil Software\Avast4\ashAvast.exe"="D:\Program Files\Alwil Software\Avast4\ashAvast.exe:*:Enabled:avast! Antivirus"
"D:\Program Files\Valve\Steam\SteamApps\fleo13013\counter-strike source\hl2.exe"="D:\Program Files\Valve\Steam\SteamApps\fleo13013\counter-strike source\hl2.exe:*:Enabled:hl2"
"D:\Program Files\eMule\emule.exe"="D:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"D:\Program Files\EA GAMES\MOHDA\moh_spearhead.exe"="D:\Program Files\EA GAMES\MOHDA\moh_spearhead.exe:*:Enabled:Medal of Honor Allied Assault(tm) Spearhead"
"D:\Program Files\Xfire\Xfire.exe"="D:\Program Files\Xfire\Xfire.exe:*:Enabled:Xfire"
"D:\Program Files\EA GAMES\MOHDA\moh_Breakthrough.exe"="D:\Program Files\EA GAMES\MOHDA\moh_Breakthrough.exe:*:Enabled:Medal of Honor Allied Assault(tm) Breakthrough"
"D:\Program Files\Call of Duty\CoDMP.exe"="D:\Program Files\Call of Duty\CoDMP.exe:*:Enabled:CoDMP"
"D:\Program Files\Azureus\Azureus.exe"="D:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"D:\Program Files\FlashFXP\FlashFXP.exe"="D:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"
"D:\Program Files\Windows Live\Messenger\msnmsgr.exe"="D:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\Program Files\Windows Live\Messenger\livecall.exe"="D:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\Program Files\LimeWire\LimeWire.exe"="D:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"D:\Program Files\MySpace\IM\MySpaceIM.exe"="D:\Program Files\MySpace\IM\MySpaceIM.exe:*:Enabled:MySpaceIM"
"D:\Program Files\Rastafarai Script V4-4\RasTaFaRai-ScRipT.exe"="D:\Program Files\Rastafarai Script V4-4\RasTaFaRai-ScRipT.exe:*:Enabled:mIRC"
"D:\Program Files\Paltalk Messenger\paltalk.exe"="D:\Program Files\Paltalk Messenger\paltalk.exe:*:Enabled:PaltalkScene"
"D:\WINDOWS\system32\dpvsetup.exe"="D:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"D:\WINDOWS\system32\rundll32.exe"="D:\WINDOWS\system32\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"
"D:\WINDOWS\system32\a.exe"="D:\WINDOWS\system32\a.exe:*:Disabled:a"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\Program Files\FlashFXP\FlashFXP.exe"="D:\Program Files\FlashFXP\FlashFXP.exe:*:Enabled:FlashFXP v3"
"D:\Program Files\Windows Live\Messenger\msnmsgr.exe"="D:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\Program Files\Windows Live\Messenger\livecall.exe"="D:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - D:\DOCUME~1\sofian\Bureau\sdfix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 13 Oct 2004     1,694,208 ..SH. --- "D:\Program Files\Messenger\msmsgs.exe"
Fri 18 Apr 2008         4,348 A.SH. --- "D:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 26 Mar 2008             0 A.SH. --- "D:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed  7 May 2008             0 A..H. --- "D:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT5.tmp"
Mon 17 Mar 2008             0 A..H. --- "D:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT4.tmp"
Tue 27 Nov 2007     4,332,032 A..H. --- "D:\Documents and Settings\All Users\Application Data\Google Updater\cache\BIT378.tmp"

[b]Finished![/b]

Destrio5 · Answer

D:\WINDOWS\system32\drivers	dssserv.sys - Deleted
D:\WINDOWS\system32	dssadw.dll - Deleted
D:\WINDOWS\system32	dssinit.dll - Deleted
D:\WINDOWS\system32	dssl.dll - Deleted
D:\WINDOWS\system32	dsslog.dll - Deleted
D:\WINDOWS\system32	dssmain.dll - Deleted
D:\WINDOWS\system32	dssservers.dat - Deleted 

---> Tu vas pouvoir lancer ComboFix maintenant.

fleo13 · Answer

ComboFix 08-08-23.01 - sofian 2008-08-24 2:57:00.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1538 [GMT 2:00] Endroit: D:\Documents and Settings\sofian\Bureau\ComboFix.exe * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\_000012_.tmp.dll D:\WINDOWS\system32\actskn43.ocx D:\WINDOWS\system32\UDJQrqru.ini D:\WINDOWS\system32\UDJQrqru.ini2 . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV -------\Service_tdssserv ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-24 to 2008-08-24 )))))))))))))))))))))))))))))))))))) . 2008-08-24 02:28 . 2008-08-24 02:28 d-------- D:\WINDOWS\erunt 2008-08-24 02:19 . 2008-08-18 22:49 d-------- D:\SDFix 2008-08-24 02:13 . 2008-03-16 22:10 d--h----- D:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-08-24 02:13 . 2008-03-16 22:10 d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-24 02:13 . 2008-03-16 22:16 d--h----- D:\Documents and Settings\Administrateur\ModŠles 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Mes documents 2008-08-24 02:13 . 2008-03-16 22:10 dr------- D:\Documents and Settings\Administrateur\Menu D‚marrer 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Favoris 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Bureau 2008-08-24 02:13 . 2008-08-24 02:13 d-------- D:\Documents and Settings\Administrateur 2008-08-24 00:48 . 2008-08-24 00:48 d-------- D:\Program Files\Trend Micro 2008-08-24 00:11 . 2008-08-24 00:54 d-------- D:\Documents and Settings\sofian\Application Data\Uniblue 2008-08-24 00:11 . 2008-08-24 00:54 d-------- D:\Documents and Settings\All Users\Application Data\DriverScanner 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Program Files\Malwarebytes' Anti-Malware 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Documents and Settings\sofian\Application Data\Malwarebytes 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-23 23:23 . 2008-07-30 20:07 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-23 23:23 . 2008-07-30 20:07 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 19:32 . 2008-08-23 19:32 d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-08-22 23:02 . 2005-08-27 02:38 1,435,272 --a------ D:\WINDOWS\system32\Flash.ocx 2008-08-22 23:02 . 2003-11-19 13:59 512,688 --a------ D:\WINDOWS\system32\XceedCry.dll 2008-08-22 23:02 . 2004-05-11 09:56 423,784 --a------ D:\WINDOWS\system32\XceedBkp.dll 2008-08-22 23:02 . 2004-01-09 10:54 188,416 --a------ D:\WINDOWS\system32\actsplash.ocx 2008-08-22 23:02 . 2004-03-08 23:00 131,856 --a------ D:\WINDOWS\system32\MSADODC.ocx 2008-08-22 23:02 . 2000-07-14 23:00 118,784 --a------ D:\WINDOWS\system32\msstdfmt.dll 2008-08-22 23:02 . 2000-07-15 05:00 101,888 --a------ D:\WINDOWS\system32\VB6STKIT.DLL 2008-08-22 23:02 . 2001-03-28 22:02 89,088 --a------ D:\WINDOWS\system32\ProgressBar4.ocx 2008-08-22 23:02 . 1999-01-26 19:36 11,012 --a------ D:\WINDOWS\system32 hreadapi.tlb 2008-08-22 20:00 . 2008-08-23 01:18 d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft 2008-08-22 18:22 . 2008-08-22 18:22 d--hs---- D:\Documents and Settings\NetworkService\Application Data\sysproc64 2008-08-22 18:22 . 2008-08-22 18:22 d--hs---- D:\Documents and Settings\LocalService\Application Data\sysproc64 2008-08-22 17:24 . 2008-08-24 03:00 d--hs---- D:\WINDOWS\system32\sysproc64 2008-08-22 17:24 . 2008-08-23 19:30 12,288 --a------ D:\WINDOWS\system32 dssserf.dll 2008-08-13 13:20 . 2008-05-01 16:31 331,776 -----c--- D:\WINDOWS\system32\dllcache\msadce.dll 2008-08-10 16:51 . 2008-08-10 16:51 d-------- D:\Program Files\Windows Journal Viewer 2008-08-08 17:00 . 2008-08-08 17:00 d-------- D:\Program Files\DivX 2008-07-26 18:04 . 2008-07-27 16:36 d-------- D:\Program Files\Fake Webcam 2008-07-26 17:01 . 2004-03-09 00:00 152,848 --a------ D:\WINDOWS\system32\COMDLG32.OCX . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-23 23:13 --------- d-----w D:\Documents and Settings\All Users\Application Data\Google Updater 2008-08-23 23:09 --------- d-----w D:\Program Files\eMule 2008-08-23 13:28 --------- d-----w D:\Documents and Settings\sofian\Application Data\Azureus 2008-08-22 12:53 --------- d-----w D:\Documents and Settings\sofian\Application Data\FileZilla 2008-08-17 18:22 --------- d-----w D:\Program Files\Paltalk Messenger 2008-07-20 21:28 --------- d-----w D:\Program Files\Rastafarai Script V4-4 2008-07-18 22:56 --------- d-----w D:\Program Files\AskPBar 2008-07-18 22:56 --------- d-----w D:\Documents and Settings\sofian\Application Data\Paltalk 2008-07-18 18:39 587,264 ----a-w D:\WINDOWS\WLXPGSS.SCR 2008-07-17 23:28 --------- d-----w D:\Program Files\Fichiers communs\xing shared 2008-07-17 23:28 --------- d-----w D:\Program Files\Fichiers communs\Real 2008-07-16 14:42 136,888 ----a-w D:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-07-16 09:03 --------- d-----w D:\Program Files\Weather Watcher 2008-07-14 22:30 --------- d-----w D:\Program Files\IMS Ltd 2008-07-13 11:37 --------- d-----w D:\Documents and Settings\sofian\Application Data\WeatherWatcher 2008-07-09 00:08 --------- d-----w D:\Program Files\Azureus 2008-07-06 09:27 --------- d-----w D:\Documents and Settings\sofian\Application Data\Xfire 2008-07-05 23:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-07-05 22:58 --------- d-s---w D:\Program Files\Xfire 2008-06-27 12:20 --------- d-----w D:\Program Files\Fichiers communs\Adobe . ------- Sigcheck ------- 2003-04-24 14:00 142848 9882731639c71c93bf88e445add89aba D:\WINDOWS\$NtServicePackUninstall$\wuauclt.exe 2007-07-30 20:19 68440 84d9a61860272d6177d46c86b8431557 D:\WINDOWS\ServicePackFiles\i386\wuauclt.exe 2007-07-30 20:19 68440 84d9a61860272d6177d46c86b8431557 D:\WINDOWS\system32\wuauclt.exe 2007-07-30 20:19 53080 f3e9065eb617a7e3a832a7976bfa021b D:\WINDOWS\system32\dllcache\wuauclt.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{0A94B116-4504-4e26-AB05-E61E474AA38B}"= "D:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL" [2008-07-19 00:56 61440] [HKEY_CLASSES_ROOT\clsid\{0a94b116-4504-4e26-ab05-e61e474aa38b}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="D:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-05-11 00:03 8429568] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360] "MySpaceIM"="D:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\oembios.exe," [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk] path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PalTalk.lnk] path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PalTalk.lnk backup=D:\WINDOWS\pss\PalTalk.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^GIGABYTE VGA Utility.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\GIGABYTE VGA Utility.lnk backup=D:\WINDOWS\pss\GIGABYTE VGA Utility.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk backup=D:\WINDOWS\pss\RocketDock.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^TransBar.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\TransBar.lnk backup=D:\WINDOWS\pss\TransBar.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\UberIcon.lnk backup=D:\WINDOWS\pss\UberIcon.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^Xfire.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\Xfire.lnk backup=D:\WINDOWS\pss\Xfire.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\Y'z Shadow.lnk backup=D:\WINDOWS\pss\Y'z Shadow.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] --a------ 2007-12-22 09:23 221568 D:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 19:10 103720 D:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2005-08-11 10:30 249856 D:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 12:34 5724184 D:\Program Files\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-12-03 14:21 2213160 D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-05-11 00:03 8429568 D:\WINDOWS\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-28 00:51 1271032 D:\Program Files\Valve\Steam\Steam.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2008-02-22 04:25 144784 D:\Program Files\Java\jre1.6.0_05\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] --a------ 2008-07-18 01:28 185896 D:\Program Files\Fichiers communs\Real\Update_OB ealsched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] -r------- 2005-05-03 12:43 69632 D:\WINDOWS\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2007-07-05 10:08 16380416 D:\WINDOWS\RTHDCPL.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "D:\Program Files\Alwil Software\Avast4\ashAvast.exe"= "D:\Program Files\Valve\Steam\SteamApps\fleo13013\counter-strike source\hl2.exe"= "D:\Program Files\eMule\emule.exe"= "D:\Program Files\EA GAMES\MOHDA\moh_spearhead.exe"= "D:\Program Files\Xfire\Xfire.exe"= "D:\Program Files\EA GAMES\MOHDA\moh_Breakthrough.exe"= "D:\Program Files\Azureus\Azureus.exe"= "D:\Program Files\FlashFXP\FlashFXP.exe"= "D:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "D:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\LimeWire\LimeWire.exe"= "D:\Program Files\MySpace\IM\MySpaceIM.exe"= "D:\Program Files\Rastafarai Script V4-4\RasTaFaRai-ScRipT.exe"= "D:\Program Files\Paltalk Messenger\paltalk.exe"= "D:\WINDOWS\system32\dpvsetup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4662:TCP"= 4662:TCP:emule:tcp entrant "4672:UDP"= 4672:UDP:emule:udp R1 aswSP;avast! Self Protection;D:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;D:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] S3 ovt530;Webcam Classic;D:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 18:04] S4 Net.cmavice;Net.cmavice;D:\WINDOWS\system32\drivers\cdfs.sys [2004-08-04 00:14] . - - - - ORPHANS REMOVED - - - - BHO-{4AA39620-8A0D-467D-9744-91365CC9824D} - D:\WINDOWS\system32\urqrQJDU.dll Toolbar-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file) Notify-khfCuRhh - khfCuRhh.dll MSConfigStartUp-0454bcab - D:\WINDOWS\system32\ghulojfg.dll MSConfigStartUp-fssui - D:\Program Files\Windows Live\Contrôle parental\fssui.exe MSConfigStartUp-lphca1vj0e963 - D:\WINDOWS\system32\lphca1vj0e963.exe MSConfigStartUp-Malware Scanner - D:\Program Files\MalwareRemover.com\Malware Scanner\MalScr.exe MSConfigStartUp-SiteAdvisor - D:\Program Files\SiteAdvisor\6172\SiteAdv.exe MSConfigStartUp-WinampAgent - D:\Program Files\Winamp\winampa.exe . ------- Supplementary Scan ------- . FireFox -: Profile - D:\Documents and Settings\sofian\Application Data\Mozilla\Firefox\Profiles\lyrb38s3.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-24 03:01:24 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\WINDOWS\system32\savedump.exe D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe D:\WINDOWS\system32 vsvc32.exe D:\WINDOWS\system32\PnkBstrA.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-24 3:04:00 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-24 01:03:58 Pre-Run: 8,185,839,616 octets libres Post-Run: 8,748,388,352 octets libres 226 --- E O F --- 2008-08-13 13:02:19

Destrio5 · Answer

1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :



KillAll::

File::
D:\WINDOWS\system32	dssserf.dll
D:\WINDOWS\system32\oembios.exe

Folder::
D:\Program Files\AskPBar

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] 
"{0A94B116-4504-4e26-AB05-E61E474AA38B}"=-
[-HKEY_CLASSES_ROOT\clsid\{0a94b116-4504-4e26-ab05-e61e474aa38b}] 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] 
"Userinit"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] 



---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

fleo13 · Answer

ComboFix 08-08-23.01 - sofian 2008-08-24 3:25:42.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1638 [GMT 2:00] Endroit: D:\Documents and Settings\sofian\Bureau\ComboFix.exe Command switches used :: D:\Documents and Settings\sofian\Bureau\CFScript.txt * Création d'un nouveau point de restauration [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] FILE :: D:\WINDOWS\system32\oembios.exe D:\WINDOWS\system32 dssserf.dll . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\oembios.exe D:\Program Files\AskPBar D:\Program Files\AskPBar\SrchAstt\1.bin\A9SRCHAS.DLL D:\WINDOWS\system32 dssserf.dll . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-24 to 2008-08-24 )))))))))))))))))))))))))))))))))))) . 2008-08-24 02:28 . 2008-08-24 02:28 d-------- D:\WINDOWS\erunt 2008-08-24 02:19 . 2008-08-18 22:49 d-------- D:\SDFix 2008-08-24 02:13 . 2008-03-16 22:10 d--h----- D:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-08-24 02:13 . 2008-03-16 22:10 d--h----- D:\Documents and Settings\Administrateur\Voisinage d'impression 2008-08-24 02:13 . 2008-03-16 22:16 d--h----- D:\Documents and Settings\Administrateur\ModŠles 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Mes documents 2008-08-24 02:13 . 2008-03-16 22:10 dr------- D:\Documents and Settings\Administrateur\Menu D‚marrer 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Favoris 2008-08-24 02:13 . 2008-03-16 22:10 d-------- D:\Documents and Settings\Administrateur\Bureau 2008-08-24 02:13 . 2008-08-24 02:13 d-------- D:\Documents and Settings\Administrateur 2008-08-24 00:48 . 2008-08-24 00:48 d-------- D:\Program Files\Trend Micro 2008-08-24 00:11 . 2008-08-24 00:54 d-------- D:\Documents and Settings\sofian\Application Data\Uniblue 2008-08-24 00:11 . 2008-08-24 00:54 d-------- D:\Documents and Settings\All Users\Application Data\DriverScanner 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Program Files\Malwarebytes' Anti-Malware 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Documents and Settings\sofian\Application Data\Malwarebytes 2008-08-23 23:23 . 2008-08-23 23:23 d-------- D:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-08-23 23:23 . 2008-07-30 20:07 38,472 --a------ D:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-08-23 23:23 . 2008-07-30 20:07 17,144 --a------ D:\WINDOWS\system32\drivers\mbam.sys 2008-08-23 19:32 . 2008-08-23 19:32 d-------- D:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-08-22 23:02 . 2005-08-27 02:38 1,435,272 --a------ D:\WINDOWS\system32\Flash.ocx 2008-08-22 23:02 . 2003-11-19 13:59 512,688 --a------ D:\WINDOWS\system32\XceedCry.dll 2008-08-22 23:02 . 2004-05-11 09:56 423,784 --a------ D:\WINDOWS\system32\XceedBkp.dll 2008-08-22 23:02 . 2004-01-09 10:54 188,416 --a------ D:\WINDOWS\system32\actsplash.ocx 2008-08-22 23:02 . 2004-03-08 23:00 131,856 --a------ D:\WINDOWS\system32\MSADODC.ocx 2008-08-22 23:02 . 2000-07-14 23:00 118,784 --a------ D:\WINDOWS\system32\msstdfmt.dll 2008-08-22 23:02 . 2000-07-15 05:00 101,888 --a------ D:\WINDOWS\system32\VB6STKIT.DLL 2008-08-22 23:02 . 2001-03-28 22:02 89,088 --a------ D:\WINDOWS\system32\ProgressBar4.ocx 2008-08-22 23:02 . 1999-01-26 19:36 11,012 --a------ D:\WINDOWS\system32 hreadapi.tlb 2008-08-22 20:00 . 2008-08-23 01:18 d-------- D:\Documents and Settings\All Users\Application Data\Lavasoft 2008-08-22 18:22 . 2008-08-22 18:22 d--hs---- D:\Documents and Settings\NetworkService\Application Data\sysproc64 2008-08-22 18:22 . 2008-08-22 18:22 d--hs---- D:\Documents and Settings\LocalService\Application Data\sysproc64 2008-08-22 17:24 . 2008-08-24 03:20 d--hs---- D:\WINDOWS\system32\sysproc64 2008-08-13 13:20 . 2008-05-01 16:31 331,776 -----c--- D:\WINDOWS\system32\dllcache\msadce.dll 2008-08-10 16:51 . 2008-08-10 16:51 d-------- D:\Program Files\Windows Journal Viewer 2008-08-08 17:00 . 2008-08-08 17:00 d-------- D:\Program Files\DivX 2008-07-26 18:04 . 2008-07-27 16:36 d-------- D:\Program Files\Fake Webcam 2008-07-26 17:01 . 2004-03-09 00:00 152,848 --a------ D:\WINDOWS\system32\COMDLG32.OCX . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-23 23:13 --------- d-----w D:\Documents and Settings\All Users\Application Data\Google Updater 2008-08-23 23:09 --------- d-----w D:\Program Files\eMule 2008-08-23 13:28 --------- d-----w D:\Documents and Settings\sofian\Application Data\Azureus 2008-08-22 12:53 --------- d-----w D:\Documents and Settings\sofian\Application Data\FileZilla 2008-08-17 18:22 --------- d-----w D:\Program Files\Paltalk Messenger 2008-07-20 21:28 --------- d-----w D:\Program Files\Rastafarai Script V4-4 2008-07-18 22:56 --------- d-----w D:\Documents and Settings\sofian\Application Data\Paltalk 2008-07-18 18:39 587,264 ----a-w D:\WINDOWS\WLXPGSS.SCR 2008-07-17 23:28 --------- d-----w D:\Program Files\Fichiers communs\xing shared 2008-07-17 23:28 --------- d-----w D:\Program Files\Fichiers communs\Real 2008-07-16 14:42 136,888 ----a-w D:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-07-16 09:03 --------- d-----w D:\Program Files\Weather Watcher 2008-07-14 22:30 --------- d-----w D:\Program Files\IMS Ltd 2008-07-13 11:37 --------- d-----w D:\Documents and Settings\sofian\Application Data\WeatherWatcher 2008-07-09 00:08 --------- d-----w D:\Program Files\Azureus 2008-07-06 09:27 --------- d-----w D:\Documents and Settings\sofian\Application Data\Xfire 2008-07-05 23:12 --------- d-----w D:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-07-05 22:58 --------- d-s---w D:\Program Files\Xfire 2008-06-27 12:20 --------- d-----w D:\Program Files\Fichiers communs\Adobe . ------- Sigcheck ------- 2003-04-24 14:00 142848 9882731639c71c93bf88e445add89aba D:\WINDOWS\$NtServicePackUninstall$\wuauclt.exe 2007-07-30 20:19 68440 84d9a61860272d6177d46c86b8431557 D:\WINDOWS\ServicePackFiles\i386\wuauclt.exe 2007-07-30 20:19 68440 84d9a61860272d6177d46c86b8431557 D:\WINDOWS\system32\wuauclt.exe 2007-07-30 20:19 53080 f3e9065eb617a7e3a832a7976bfa021b D:\WINDOWS\system32\dllcache\wuauclt.exe . ((((((((((((((((((((((((((((( snapshot@2008-08-24_ 3.03.42.53 ))))))))))))))))))))))))))))))))))))))))) . - 2008-08-24 00:50:48 59,780 ----a-w D:\WINDOWS\system32\perfc009.dat + 2008-08-24 01:05:04 59,780 ----a-w D:\WINDOWS\system32\perfc009.dat - 2008-08-24 00:50:48 73,020 ----a-w D:\WINDOWS\system32\perfc00C.dat + 2008-08-24 01:05:04 73,020 ----a-w D:\WINDOWS\system32\perfc00C.dat - 2008-08-24 00:50:48 397,560 ----a-w D:\WINDOWS\system32\perfh009.dat + 2008-08-24 01:05:04 397,560 ----a-w D:\WINDOWS\system32\perfh009.dat - 2008-08-24 00:50:48 464,474 ----a-w D:\WINDOWS\system32\perfh00C.dat + 2008-08-24 01:05:04 464,474 ----a-w D:\WINDOWS\system32\perfh00C.dat - 2008-08-24 00:43:50 33,710 ----a-w D:\WINDOWS\system32\sysproc64\sysproc86.sys + 2008-08-24 01:16:16 33,710 ----a-w D:\WINDOWS\system32\sysproc64\sysproc86.sys + 2008-08-24 01:27:51 16,384 ----atw D:\WINDOWS\Temp\Perflib_Perfdata_624.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="D:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2007-05-11 00:03 8429568] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360] "MySpaceIM"="D:\Program Files\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.YV12"= yv12vfw.dll "VIDC.XFR1"= xfcodec.dll [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk] path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PalTalk.lnk] path=D:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PalTalk.lnk backup=D:\WINDOWS\pss\PalTalk.lnkCommon Startup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^GIGABYTE VGA Utility.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\GIGABYTE VGA Utility.lnk backup=D:\WINDOWS\pss\GIGABYTE VGA Utility.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^RocketDock.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\RocketDock.lnk backup=D:\WINDOWS\pss\RocketDock.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^TransBar.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\TransBar.lnk backup=D:\WINDOWS\pss\TransBar.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^UberIcon.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\UberIcon.lnk backup=D:\WINDOWS\pss\UberIcon.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^Xfire.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\Xfire.lnk backup=D:\WINDOWS\pss\Xfire.lnkStartup [HKLM\~\startupfolder\D:^Documents and Settings^sofian^Menu Démarrer^Programmes^Démarrage^Y'z Shadow.lnk] path=D:\Documents and Settings\sofian\Menu Démarrer\Programmes\Démarrage\Y'z Shadow.lnk backup=D:\WINDOWS\pss\Y'z Shadow.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] --a------ 2007-12-22 09:23 221568 D:\Program Files\Alcohol Soft\Alcohol 120\AxCmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a------ 2007-12-13 19:10 103720 D:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr] --a------ 2007-10-18 12:34 5724184 D:\Program Files\Windows Live\Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan] --a------ 2007-12-03 14:21 2213160 D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-05-11 00:03 8429568 D:\WINDOWS\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam] --a------ 2008-03-28 00:51 1271032 D:\Program Files\Valve\Steam\Steam.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "D:\Program Files\Alwil Software\Avast4\ashAvast.exe"= "D:\Program Files\Valve\Steam\SteamApps\fleo13013\counter-strike source\hl2.exe"= "D:\Program Files\eMule\emule.exe"= "D:\Program Files\EA GAMES\MOHDA\moh_spearhead.exe"= "D:\Program Files\Xfire\Xfire.exe"= "D:\Program Files\EA GAMES\MOHDA\moh_Breakthrough.exe"= "D:\Program Files\Azureus\Azureus.exe"= "D:\Program Files\FlashFXP\FlashFXP.exe"= "D:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "D:\Program Files\Windows Live\Messenger\livecall.exe"= "D:\Program Files\LimeWire\LimeWire.exe"= "D:\Program Files\MySpace\IM\MySpaceIM.exe"= "D:\Program Files\Rastafarai Script V4-4\RasTaFaRai-ScRipT.exe"= "D:\Program Files\Paltalk Messenger\paltalk.exe"= "D:\WINDOWS\system32\dpvsetup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4662:TCP"= 4662:TCP:emule:tcp entrant "4672:UDP"= 4672:UDP:emule:udp R1 aswSP;avast! Self Protection;D:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20] R2 aswFsBlk;aswFsBlk;D:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16] S3 ovt530;Webcam Classic;D:\WINDOWS\system32\Drivers\ov530vid.sys [2005-03-15 18:04] S4 Net.cmavice;Net.cmavice;D:\WINDOWS\system32\drivers\cdfs.sys [2004-08-04 00:14] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-08-24 03:28:08 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe D:\WINDOWS\system32 vsvc32.exe D:\WINDOWS\system32\PnkBstrA.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe . ************************************************************************** . Temps d'accomplissement: 2008-08-24 3:31:10 - machine was rebooted ComboFix-quarantined-files.txt 2008-08-24 01:31:07 ComboFix2.txt 2008-08-24 01:04:01 Pre-Run: 8,715,513,856 octets libres Post-Run: 8,716,374,016 octets libres 206 --- E O F --- 2008-08-13 13:02:19

Destrio5 · Answer

---> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

fleo13 · Answer

-----------\  ToolBar S&D 1.1.3   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     E4500  @ 2.20GHz )
   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Duo CPU     E4500  @ 2.20GHz )
   Award Modular BIOS v6.00PG
   BOOT : Normal boot

   "D:\ToolBar SD" ( MAJ : 22-08-2008|17:30 )
   Option : [1] ( 24/08/2008| 3:37 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (sofian) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (sofian) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
   (sofian) - {ecdee021-0d17-467f-a1ff-c7a115230949} => free-downloads.net


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="D:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://home.sweetim.com/"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   D:\DOCUME~1\sofian\Recent\Avast.Antivirus.Pro.v4.8.1169.FR.Incl-Keygen.lnk


   -----------\  Fin du rapport a  3:37:43,59

Destrio5 · Answer

---> Désinstalle ToolBar S&D 

---> Mets à jour Java :
https://www.java.com/fr/download/manual.jsp

---> Poste un nouveau rapport HijackThis

fleo13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:50:43, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\WINDOWS\System32
vsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32
otepad.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Program Files\Paltalk Messenger\paltalk.exe
D:\WINDOWS\system32\msiexec.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://home.sweetim.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.ircfast.com/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Destrio5 · Answer

---> Mets à jour Internet Explorer :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC et poste un nouveau rapport HijackThis

fleo13 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:15:41, on 24/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
D:\WINDOWS\System32
vsvc32.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://french.ircfast.com/index.php?rvs=hompag
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\PROGRA~1\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MySpaceIM] D:\Program Files\MySpace\IM\MySpaceIM.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Destrio5 · Answer

---> Tu peux désinstaller HijackThis

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Je te conseille de remplacer Avast par Antivir ou AVG.

fleo13 · Answer

Tout est redevenue comme avant, Internet Explorer remarche, Counter Strike Source aussi, ma connexion rame plus et j'ai plus de message d'erreur. Franchement un GRAND BIG'UP à toi pour le temps que tu ma donner afin de m'aider à réparer ma machine tu est considérablement quelqu'un de patient et de douer

Destrio5 · Answer

---> Tu peux supprimer ComboFix, CFScript, SDFix et le dossier Qoobox situé dans D:\

Destrio5 · Answer

Pour Antivir :
https://www.malekal.com/avira-free-security-antivirus-gratuit/

Je te conseille de faire un scan complet.

fleo13 · Answer

Très bien. Big Merci encore, il m'a l'air parfait cette anti-virus j'ai lus quelques commentaires... Béh voilà tout est rentré dans l'ordre grâce à toi ! merci 1000x encore.

Trojan qui bloque Explorer, et me fait ramer

42 réponses

Discussions similaires