Sujet Précédent Sujet Suivant

Trojan-spy.win32.greenscreen

Fermé
JP08 - 29 août 2008 à 17:39
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 1 sept. 2008 à 10:02
Bonjour,

j'ai le problème suivant: une fois tous les 15-20 minutes, une fenêtre apparaît dans mon écran me disant que je suis infecté avec le trojan nommé trojan-spy.win32.greenscreen.

Comment je fais pour m'en débarasser?

J'ai lu d'autres messages sur ce site avec le même problème mais je n'ose pas trop jouer avec les éléments apparaîssant dans HijackThis

Merci d'avance,

JP08
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
BeFacmoi Messages postés 669 Date d'inscription dimanche 13 janvier 2008 Statut Membre Dernière intervention 28 décembre 2008 175
29 août 2008 à 17:40
Tu peux déjà utiliser Trojan Remover.
http://www.simplysup1.com/download/dl/trsetup.exe
0
Réponse 2 / 21
JP08
29 août 2008 à 17:43
C'est bon j'essaie ca...

en passant j'ai aussi fait un scan avec Malwarebytes' Anti-Malware mais le problème persiste toujours...
0
Réponse 3 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 17:45
slt colles le rapport hijackthis
0
Réponse 4 / 21
JP08
29 août 2008 à 17:52
Scan saved at 11:51:14, on 2008-08-29
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\UnivLaval\cvpnd.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\MDC\AEGIS Client\mgr8021x.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe
C:\WINDOWS\system32\zafynofi.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trojan Remover\Trjscan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\JP Grenon\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hp-consumer.my.aol.qc.ca/?icid=notebook
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [CmdMnt] C:\WINDOWS\system32\zafynofi.exe
O4 - HKCU\..\Run: [setsh] C:\WINDOWS\system32\ofudwdon.exe
O4 - HKLM\..\Policies\Explorer\Run: [xDVLGzoXvX] C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
O4 - Global Startup: Universite Laval Client VPN ULaval.lnk = C:\Program Files\UnivLaval\vpngui.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://hp-consumer.my.aol.qc.ca/?icid=notebook
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: mdc - C:\WINDOWS\SYSTEM32\notification.dll
O21 - SSODL: setcfg - {011130DF-EC5C-938F-5AA9-08F64E7D145F} - C:\Program Files\kohvfuc\setcfg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\UnivLaval\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
BeFacmoi Messages postés 669 Date d'inscription dimanche 13 janvier 2008 Statut Membre Dernière intervention 28 décembre 2008 175
29 août 2008 à 17:55
Bip Bip Bip !!!

C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
O4 - HKCU\..\Run: [CmdMnt] C:\WINDOWS\system32\zafynofi.exe
O4 - HKCU\..\Run: [setsh] C:\WINDOWS\system32\ofudwdon.exe
O4 - HKLM\..\Policies\Explorer\Run: [xDVLGzoXvX] C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
Je sais pas trop ce que c'est.
0
Réponse 6 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 17:56
ok trojan remover ne suffira pas:


infections ici:

C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\WINDOWS\system32\zafynofi.exe
O4 - HKCU\..\Run: [setsh] C:\WINDOWS\system32\ofudwdon.exe
O4 - HKLM\..\Policies\Explorer\Run: [xDVLGzoXvX] C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe




fais ceci:

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Télécharger sur le bureau
Navilog.zip
= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1

un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
0
Réponse 7 / 21
JP08
29 août 2008 à 18:21
Voici le rapport de Navipromo

Search Navipromo version 3.6.5 commencé le 2008-08-29 à 12:07:08.29

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.5512
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***

*** Recherche dossiers dans "C:\Program Files" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***

*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\JP Grenon\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\JP Grenon\locals~1\applic~1" ***

*** Recherche dossiers dans "C:\Documents and Settings\JP Grenon\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *
* Recherche dans "C:\Documents and Settings\JP Grenon\locals~1\applic~1" *

*** Recherche fichiers ***

*** Recherche clés spécifiques dans le Registre ***

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :

* Dans "C:\Documents and Settings\JP Grenon\locals~1\applic~1" :

3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 2008-08-29 à 12:19:31.68 ***
0
Réponse 8 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 18:26
ok

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
Réponse 9 / 21
JP08
29 août 2008 à 19:48
voici le rapport ComboFix

ComboFix 08-08-28.06 - **** 2008-08-29 13:20:11.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.597 [GMT -4:00]
Endroit: C:\Documents and Settings\****\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\*****\Application Data\inst.exe
C:\Documents and Settings\****\Application Data\macromedia\Flash Player\#SharedObjects\EKFRTMP2\bin.clearspring.com
C:\Documents and Settings\****\Application Data\macromedia\Flash Player\#SharedObjects\EKFRTMP2\bin.clearspring.com\clearspring.sol
C:\Documents and Settings\****\Application Data\macromedia\Flash Player\#SharedObjects\EKFRTMP2\bin.clearspring.com\ws\wan\wanLib.swf\48175d38d45aadf1.sol
C:\Documents and Settings\*****\Application Data\macromedia\Flash Player\#SharedObjects\EKFRTMP2\interclick.com
C:\Documents and Settings\*****\Application Data\macromedia\Flash Player\#SharedObjects\EKFRTMP2\interclick.com\ud.sol
C:\Documents and Settings\*****\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Documents and Settings\******\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Documents and Settings\*****\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Documents and Settings\****\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-28 to 2008-08-29 ))))))))))))))))))))))))))))))))))))
.

2008-08-29 13:27 . 2008-08-29 13:27 14 --a------ C:\WINDOWS\system32\tmpPrst.tgz
2008-08-29 13:27 . 2008-08-29 13:27 0 --a------ C:\WINDOWS\system32\tmpPrst.dll
2008-08-29 12:05 . 2008-08-29 12:19 <REP> d-------- C:\Program Files\Navilog1
2008-08-29 11:48 . 2008-08-29 11:48 94,208 --a------ C:\WINDOWS\system32\ofudwdon.exe
2008-08-29 11:48 . 2008-08-29 11:48 66,048 --a------ C:\WINDOWS\system32\kfotahsb.exe
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Program Files\Trojan Remover
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\** ***\Application Data\Simply Super Software
2008-08-29 11:44 . 2008-08-29 11:48 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-08-29 11:44 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-08-29 11:44 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-08-29 11:44 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-08-29 11:44 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-08-29 11:44 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-08-29 07:31 . 2008-08-29 07:31 98,304 --a------ C:\WINDOWS\system32\zafynofi.exe
2008-08-29 07:31 . 2008-08-29 07:31 66,048 --a------ C:\WINDOWS\system32\xyduxodw.exe
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\****\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 22:52 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 22:47 . 2008-08-29 08:11 <REP> d-------- C:\Program Files\Yahoo!
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Temporary Internet Files
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Historique
2008-08-28 22:06 . 2008-08-28 22:06 <REP> d-------- C:\Program Files\kohvfuc
2008-08-28 22:06 . 2008-08-28 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\pwfeluhq
2008-08-28 22:06 . 2008-08-28 22:06 94,208 --a------ C:\WINDOWS\system32\rkhsberu.exe
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d-------- C:\Program Files\Windows Live
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-24 20:48 . 2008-08-24 20:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-24 20:24 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-24 20:19 . 2008-08-24 20:19 <REP> d-------- C:\WINDOWS\EHome
2008-08-13 17:34 . 2008-08-13 17:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Program Files\Nero
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero
2008-08-13 17:23 . 2008-08-13 17:23 190 --a------ C:\Raccourci vers HP_RECOVERY (D).lnk
2008-08-13 13:05 . 2008-07-07 16:28 253,952 --------- C:\WINDOWS\system32\dllcache\es.dll
2008-08-13 13:05 . 2008-06-24 12:44 74,240 --------- C:\WINDOWS\system32\dllcache\mscms.dll
2008-08-13 13:04 . 2008-05-01 10:36 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 13:03 . 2008-06-26 04:13 1,499,648 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-08-13 13:03 . 2008-04-11 15:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 13:03 . 2008-06-26 04:13 620,544 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-05 21:48 . 2003-03-30 20:08 372,736 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-05 21:48 . 2004-09-10 13:50 34,820 --a------ C:\WINDOWS\system32\ffdshow.reg
2008-08-05 21:41 . 2008-08-06 22:20 <REP> d-------- C:\ConverterOutput
2008-08-05 21:41 . 2004-10-12 14:40 2,255,360 --a------ C:\WINDOWS\system32\libavcodec.dll
2008-08-05 21:41 . 2004-10-12 14:46 1,761,280 --a------ C:\WINDOWS\system32\ffdshow.ax
2008-08-05 21:41 . 2004-10-05 16:16 395,776 --a------ C:\WINDOWS\system32\libmplayer.dll
2008-08-05 21:41 . 2004-10-12 14:42 262,144 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll
2008-08-05 21:41 . 2003-04-03 00:17 172,032 --a------ C:\WINDOWS\system32\ac3filter.ax
2008-08-05 21:41 . 2004-10-04 01:50 112,640 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll
2008-08-05 15:36 . 2008-08-05 15:36 <REP> d-------- C:\Documents and Settings\*****\Application Data\Nero
2008-08-05 15:33 . 2008-08-05 15:45 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iTunes
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iPod
2008-08-01 09:07 . 2008-08-01 09:09 <REP> d-------- C:\Documents and Settings\******\Application Data\DeepBurner Pro
2008-08-01 08:53 . 2008-08-01 08:57 <REP> d-------- C:\Documents and Settings\*****\Application Data\Vso
2008-08-01 08:53 . 2008-08-01 08:53 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-01 08:53 . 2008-08-01 08:57 47,360 --a------ C:\Documents and Settings\*****\Application Data\pcouffin.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 12:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-08-28 14:03 --------- d-----w C:\Documents and Settings\*****\Application Data\Corel
2008-08-27 01:09 --------- d-----w C:\Documents and Settings\****\Application Data\uTorrent
2008-08-25 00:50 --------- d-----w C:\Program Files\MSN Messenger
2008-08-25 00:33 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd0893.sys
2008-08-22 16:14 --------- d-----w C:\Program Files\Hp
2008-08-22 16:14 --------- d-----w C:\Program Files\Hewlett-Packard
2008-08-18 23:45 --------- d-----w C:\Program Files\Java
2008-08-13 21:33 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-08-13 21:23 --------- d-----w C:\Program Files\Bonjour
2008-07-18 18:45 --------- d-----w C:\Program Files\UnivLaval
2008-07-17 14:47 --------- d-----w C:\Program Files\QuickTime
2008-01-30 19:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-08-03 18:55 314 ----a-w C:\Program Files\INSTALL.LOG
2007-03-02 14:29 88 --sh--r C:\WINDOWS\system32\BE42FD7F47.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 22:33 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 20:29 39264]
"CmdMnt"="C:\WINDOWS\system32\zafynofi.exe" [2008-08-29 07:31 98304]
"setsh"="C:\WINDOWS\system32\ofudwdon.exe" [2008-08-29 11:48 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-14 19:02 7573504]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 01:46 761948]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2006-01-26 19:18 40960]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 13:23 1187840]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 17:48 479232]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 10:26 266497]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-08-27 13:57 916560]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 07:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 22:33 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xDVLGzoXvX"="C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe" [2008-08-28 22:06 69632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"setcfg"= {011130DF-EC5C-938F-5AA9-08F64E7D145F} - C:\Program Files\kohvfuc\setcfg.dll [2008-08-28 22:06 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mdc]
2005-05-16 15:51 294912 C:\WINDOWS\system32\notification.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=C:\WINDOWS\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Universite Laval Client VPN ULaval.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Universite Laval Client VPN ULaval.lnk
backup=C:\WINDOWS\pss\Universite Laval Client VPN ULaval.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^*****^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\*****\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^*****^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\****\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-09 11:09 63712 C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msgshstr]
--a------ 2008-08-28 22:06 94208 C:\WINDOWS\system32\rkhsberu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--------- 2006-02-09 12:52 643072 C:\WINDOWS\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\UnivLaval\\ipsecdialer.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avadmin.exe"=

S3 Flash1;Flash1;C:\SwSetup\SP38062\winphlash\Flash1.sys [2006-03-01 17:54]
S3 WinPhlash;WinPhlash;C:\SwSetup\SP38062\winphlash\PHLASHNT.SYS [2006-10-19 13:52]
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-ISUSPM Startup - C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe
HKLM-Run-ISUSScheduler - C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
MSConfigStartUp-Google Desktop Search - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
MSConfigStartUp-lphcetoj0e7sp - C:\WINDOWS\system32\lphcetoj0e7sp.exe
MSConfigStartUp-Uniblue SpeedUpMyPC - C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe
MSConfigStartUp-updateMgr - C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\****\Application Data\Mozilla\Firefox\Profiles\7w88ojvj.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com/
FF -: plugin - C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Program Files\ma-config.com\nphardwaredetection.dll
FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npmozax.dll
FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 13:27:47
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????P????????@???????@

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\UnivLaval\cvpnd.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-08-29 13:39:32 - machine was rebooted [*****]
ComboFix-quarantined-files.txt 2008-08-29 17:39:28

Pre-Run: 20,556,099,584 octets libres
Post-Run: 25,951,674,368 octets libres

248 --- E O F --- 2008-08-26 00:26:43
0
Réponse 10 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 20:08
analyse ces fichiers sur virus total et dis si infectés ou Zero de size : https://www.virustotal.com/gui/

C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc
C:\Documents and Settings\All Users\Application Data\pwfeluhq
C:\WINDOWS\system32\rkhsberu.exe
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
0
Réponse 11 / 21
JP08
29 août 2008 à 20:34
Analyse des fichiers..:

C:\Program Files\kohvfuc\setcfg.dll 1/35 (2.86%) size=131072 bytes
C:\WINDOWS\system32\ofudwdon.exe 3/35 size=94208 bytes
C:\WINDOWS\system32\kfotahsb.exe 1/35 size=66048 bytes
C:\WINDOWS\system32\xyduxodw.exe 1/35 size=66048 bytes
C:\Program Files\kohvfuc >>> c'est un dossier
C:\Documents and Settings\All Users\Application Data\pwfeluhq >>> c'est un dossier
C:\WINDOWS\system32\rkhsberu.exe 3/36 (8.34%) size=94208 bytes
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe 2/36 (5.56%) size=2/36 (5.56%)

j'ai aussi scanné:

C:\WINDOWS\system32\zafynofi.exe 3/36 (8.34%) size=98304 bytes
0
Réponse 12 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 20:51
pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :




File::
C:\WINDOWS\system32\zafynofi.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc
C:\Documents and Settings\All Users\Application Data\pwfeluhq
C:\WINDOWS\system32\rkhsberu.exe
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\kohvfuc\setcfg.dll


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CmdMnt"=-
"setsh"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xDVLGzoXvX"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"setcfg"=-
{011130DF-EC5C-938F-5AA9-08F64E7D145F} -






Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 13 / 21
JP08
29 août 2008 à 21:09
Mon seul problème est qu'environ aux 15 minutes, une fenêtre apparaît en me disant que je suis infecté par un trojan....le nom du trojan varie d'une fois à l'autre. J'aimerais bien me débarasser de celà.!

Voici ce que disait Combofix après la fusion avec le CFscript

ComboFix 08-08-28.06 - ****** 2008-08-29 14:56:59.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.580 [GMT -4:00]
Endroit: C:\Documents and Settings\******\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\******\Bureau\CFscript.doc
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll
C:\WINDOWS\system32\tmpPrst.dll

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-28 to 2008-08-29 ))))))))))))))))))))))))))))))))))))
.

2008-08-29 13:27 . 2008-08-29 13:27 14 --a------ C:\WINDOWS\system32\tmpPrst.tgz
2008-08-29 12:05 . 2008-08-29 12:19 <REP> d-------- C:\Program Files\Navilog1
2008-08-29 11:48 . 2008-08-29 11:48 94,208 --a------ C:\WINDOWS\system32\ofudwdon.exe
2008-08-29 11:48 . 2008-08-29 11:48 66,048 --a------ C:\WINDOWS\system32\kfotahsb.exe
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Program Files\Trojan Remover
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\******\Application Data\Simply Super Software
2008-08-29 11:44 . 2008-08-29 11:48 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-08-29 11:44 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-08-29 11:44 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-08-29 11:44 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-08-29 11:44 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-08-29 11:44 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-08-29 07:31 . 2008-08-29 07:31 98,304 --a------ C:\WINDOWS\system32\zafynofi.exe
2008-08-29 07:31 . 2008-08-29 07:31 66,048 --a------ C:\WINDOWS\system32\xyduxodw.exe
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\******\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 22:52 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 22:47 . 2008-08-29 08:11 <REP> d-------- C:\Program Files\Yahoo!
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Temporary Internet Files
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Historique
2008-08-28 22:06 . 2008-08-28 22:06 <REP> d-------- C:\Program Files\kohvfuc
2008-08-28 22:06 . 2008-08-28 22:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\pwfeluhq
2008-08-28 22:06 . 2008-08-28 22:06 94,208 --a------ C:\WINDOWS\system32\rkhsberu.exe
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d-------- C:\Program Files\Windows Live
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-24 20:48 . 2008-08-24 20:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-24 20:24 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-24 20:19 . 2008-08-24 20:19 <REP> d-------- C:\WINDOWS\EHome
2008-08-13 17:34 . 2008-08-13 17:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Program Files\Nero
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero
2008-08-13 17:23 . 2008-08-13 17:23 190 --a------ C:\Raccourci vers HP_RECOVERY (D).lnk
2008-08-13 13:05 . 2008-07-07 16:28 253,952 --------- C:\WINDOWS\system32\dllcache\es.dll
2008-08-13 13:05 . 2008-06-24 12:44 74,240 --------- C:\WINDOWS\system32\dllcache\mscms.dll
2008-08-13 13:04 . 2008-05-01 10:36 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 13:03 . 2008-06-26 04:13 1,499,648 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-08-13 13:03 . 2008-04-11 15:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 13:03 . 2008-06-26 04:13 620,544 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-05 21:48 . 2003-03-30 20:08 372,736 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-05 21:48 . 2004-09-10 13:50 34,820 --a------ C:\WINDOWS\system32\ffdshow.reg
2008-08-05 21:41 . 2008-08-06 22:20 <REP> d-------- C:\ConverterOutput
2008-08-05 21:41 . 2004-10-12 14:40 2,255,360 --a------ C:\WINDOWS\system32\libavcodec.dll
2008-08-05 21:41 . 2004-10-12 14:46 1,761,280 --a------ C:\WINDOWS\system32\ffdshow.ax
2008-08-05 21:41 . 2004-10-05 16:16 395,776 --a------ C:\WINDOWS\system32\libmplayer.dll
2008-08-05 21:41 . 2004-10-12 14:42 262,144 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll
2008-08-05 21:41 . 2003-04-03 00:17 172,032 --a------ C:\WINDOWS\system32\ac3filter.ax
2008-08-05 21:41 . 2004-10-04 01:50 112,640 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll
2008-08-05 15:36 . 2008-08-05 15:36 <REP> d-------- C:\Documents and Settings\******\Application Data\Nero
2008-08-05 15:33 . 2008-08-05 15:45 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iTunes
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iPod
2008-08-01 09:07 . 2008-08-01 09:09 <REP> d-------- C:\Documents and Settings\******\Application Data\DeepBurner Pro
2008-08-01 08:53 . 2008-08-01 08:57 <REP> d-------- C:\Documents and Settings\******\Application Data\Vso
2008-08-01 08:53 . 2008-08-01 08:53 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-01 08:53 . 2008-08-01 08:57 47,360 --a------ C:\Documents and Settings\******\Application Data\pcouffin.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 12:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-08-28 14:03 3,818 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-28 14:03 --------- d-----w C:\Documents and Settings\******\Application Data\Corel
2008-08-27 01:09 --------- d-----w C:\Documents and Settings\******\Application Data\uTorrent
2008-08-25 00:50 --------- d-----w C:\Program Files\MSN Messenger
2008-08-25 00:33 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd0893.sys
2008-08-22 16:14 --------- d-----w C:\Program Files\Hp
2008-08-22 16:14 --------- d-----w C:\Program Files\Hewlett-Packard
2008-08-18 23:45 --------- d-----w C:\Program Files\Java
2008-08-13 21:33 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-08-13 21:23 --------- d-----w C:\Program Files\Bonjour
2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:45 --------- d-----w C:\Program Files\UnivLaval
2008-07-17 14:47 --------- d-----w C:\Program Files\QuickTime
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-23 15:10 670,208 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-06-23 15:10 3,088,384 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:47 247,808 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:47 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-01-30 19:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-08-03 18:55 314 ----a-w C:\Program Files\INSTALL.LOG
2003-09-16 05:19 99,544 ----a-w C:\WINDOWS\inf\virprn.exe
2003-09-16 05:19 90,624 ----a-w C:\WINDOWS\inf\prtproc.dll
2003-09-16 05:19 18,950 ----a-w C:\WINDOWS\inf\virpntd.dll
2003-09-16 05:19 10,240 ----a-w C:\WINDOWS\inf\virport.dll
2007-03-02 14:29 88 --sh--r C:\WINDOWS\system32\BE42FD7F47.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 22:33 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 20:29 39264]
"CmdMnt"="C:\WINDOWS\system32\zafynofi.exe" [2008-08-29 07:31 98304]
"setsh"="C:\WINDOWS\system32\ofudwdon.exe" [2008-08-29 11:48 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-14 19:02 7573504]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 01:46 761948]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2006-01-26 19:18 40960]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 13:23 1187840]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 17:48 479232]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 10:26 266497]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-08-27 13:57 916560]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 07:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 22:33 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xDVLGzoXvX"="C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe" [2008-08-28 22:06 69632]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Pavilion Webcam Tray Icon.lnk - C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe [2006-09-14 23:38:18 102400]
Universite Laval Client VPN ULaval.lnk - C:\Program Files\UnivLaval\vpngui.exe [2007-06-28 12:38:06 1528880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"setcfg"= {011130DF-EC5C-938F-5AA9-08F64E7D145F} - C:\Program Files\kohvfuc\setcfg.dll [2008-08-28 22:06 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mdc]
2005-05-16 15:51 294912 C:\WINDOWS\system32\notification.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=C:\WINDOWS\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Universite Laval Client VPN ULaval.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Universite Laval Client VPN ULaval.lnk
backup=C:\WINDOWS\pss\Universite Laval Client VPN ULaval.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^******^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\******\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^******^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\******\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-09 11:09 63712 C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msgshstr]
--a------ 2008-08-28 22:06 94208 C:\WINDOWS\system32\rkhsberu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--------- 2006-02-09 12:52 643072 C:\WINDOWS\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\UnivLaval\\ipsecdialer.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avadmin.exe"=

S3 Flash1;Flash1;C:\SwSetup\SP38062\winphlash\Flash1.sys [2006-03-01 17:54]
S3 WinPhlash;WinPhlash;C:\SwSetup\SP38062\winphlash\PHLASHNT.SYS [2006-10-19 13:52]
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 14:58:25
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????P????????@???????@

Balayage des fichiers cachés ...


**************************************************************************
.
Temps d'accomplissement: 2008-08-29 15:02:43
ComboFix-quarantined-files.txt 2008-08-29 19:01:40
ComboFix2.txt 2008-08-29 17:39:32

Pre-Run: 25,894,445,056 octets libres
Post-Run: 25,883,131,904 octets libres

236 --- E O F --- 2008-08-26 00:26:43




Rapport HiJackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:06:08, on 2008-08-29
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\UnivLaval\cvpnd.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\zafynofi.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MDC\AEGIS Client\mgr8021x.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\*****\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKCU\..\Run: [CmdMnt] C:\WINDOWS\system32\zafynofi.exe
O4 - HKCU\..\Run: [setsh] C:\WINDOWS\system32\ofudwdon.exe
O4 - HKLM\..\Policies\Explorer\Run: [xDVLGzoXvX] C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
O4 - Global Startup: Universite Laval Client VPN ULaval.lnk = C:\Program Files\UnivLaval\vpngui.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://hp-consumer.my.aol.qc.ca/?icid=notebook
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - Winlogon Notify: mdc - C:\WINDOWS\SYSTEM32\notification.dll
O21 - SSODL: setcfg - {011130DF-EC5C-938F-5AA9-08F64E7D145F} - C:\Program Files\kohvfuc\setcfg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\UnivLaval\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0
Réponse 14 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
29 août 2008 à 22:07
tu as mal fais la fusion avec combofix!!!! (message 12 )


et renomme bien en CFscript en respectant minuscules et majuscules



pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif


Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :




File::
C:\WINDOWS\system32\zafynofi.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc
C:\Documents and Settings\All Users\Application Data\pwfeluhq
C:\WINDOWS\system32\rkhsberu.exe
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\kohvfuc\setcfg.dll


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CmdMnt"=-
"setsh"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xDVLGzoXvX"=-





Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis et dis tes soucis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
0
Réponse 15 / 21
JP08
29 août 2008 à 22:55
Ca fonctionné cette fois-ci? J'ai créé un fichier CFscript contenant les lignes suivantes

File::
C:\WINDOWS\system32\zafynofi.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\Program Files\kohvfuc
C:\Documents and Settings\All Users\Application Data\pwfeluhq
C:\WINDOWS\system32\rkhsberu.exe
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\kohvfuc\setcfg.dll


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CmdMnt"=-
"setsh"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xDVLGzoXvX"=-

et je l'ai "drag/drop sur le fichier ComboFix.exe

voilà ce que ça donné:

ComboFix 08-08-28.06 - ***** 2008-08-29 16:45:47.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.565 [GMT -4:00]
Endroit: C:\Documents and Settings\*****\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\*****\Bureau\CFscript.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\All Users\Application Data\pwfeluhq
C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\kohvfuc
C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\rkhsberu.exe
C:\WINDOWS\system32\xyduxodw.exe
C:\WINDOWS\system32\zafynofi.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\pwfeluhq\hwzkzczq.exe
C:\Program Files\kohvfuc\setcfg.dll
C:\WINDOWS\system32\kfotahsb.exe
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ofudwdon.exe
C:\WINDOWS\system32\rkhsberu.exe
C:\WINDOWS\system32\ssprs.dll
C:\WINDOWS\system32\tmpPrst.dll
C:\WINDOWS\system32\xyduxodw.exe
C:\WINDOWS\system32\zafynofi.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-07-28 to 2008-08-29 ))))))))))))))))))))))))))))))))))))
.

2008-08-29 13:27 . 2008-08-29 13:27 14 --a------ C:\WINDOWS\system32\tmpPrst.tgz
2008-08-29 12:05 . 2008-08-29 12:19 <REP> d-------- C:\Program Files\Navilog1
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Program Files\Trojan Remover
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\*****\Application Data\Simply Super Software
2008-08-29 11:44 . 2008-08-29 11:48 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-08-29 11:44 . 2008-08-29 11:44 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Simply Super Software
2008-08-29 11:44 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll
2008-08-29 11:44 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll
2008-08-29 11:44 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll
2008-08-29 11:44 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll
2008-08-29 11:44 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\*****\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-28 22:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-28 22:52 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-28 22:52 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-28 22:47 . 2008-08-29 08:11 <REP> d-------- C:\Program Files\Yahoo!
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Temporary Internet Files
2008-08-28 22:28 . 2008-08-28 22:28 <REP> d---s---- C:\Documents and Settings\LocalService\Historique
2008-08-28 22:06 . 2008-08-29 16:45 <REP> d-------- C:\Program Files\kohvfuc
2008-08-28 22:06 . 2008-08-29 16:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\pwfeluhq
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d-------- C:\Program Files\Windows Live
2008-08-24 20:48 . 2008-08-24 20:50 <REP> d--hsc--- C:\Program Files\Fichiers communs\WindowsLiveInstaller
2008-08-24 20:48 . 2008-08-24 20:48 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\fr
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\system32\bits
2008-08-24 20:27 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\l2schemas
2008-08-24 20:24 . 2008-08-24 20:27 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-08-24 20:19 . 2008-08-24 20:19 <REP> d-------- C:\WINDOWS\EHome
2008-08-13 17:34 . 2008-08-13 17:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ahead
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Program Files\Nero
2008-08-13 17:31 . 2008-08-13 17:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero
2008-08-13 17:23 . 2008-08-13 17:23 190 --a------ C:\Raccourci vers HP_RECOVERY (D).lnk
2008-08-13 13:05 . 2008-07-07 16:28 253,952 --------- C:\WINDOWS\system32\dllcache\es.dll
2008-08-13 13:05 . 2008-06-24 12:44 74,240 --------- C:\WINDOWS\system32\dllcache\mscms.dll
2008-08-13 13:04 . 2008-05-01 10:36 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 13:03 . 2008-06-26 04:13 1,499,648 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2008-08-13 13:03 . 2008-04-11 15:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 13:03 . 2008-06-26 04:13 620,544 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-05 21:48 . 2003-03-30 20:08 372,736 --a------ C:\WINDOWS\system32\xvid.ax
2008-08-05 21:48 . 2004-09-10 13:50 34,820 --a------ C:\WINDOWS\system32\ffdshow.reg
2008-08-05 21:41 . 2008-08-06 22:20 <REP> d-------- C:\ConverterOutput
2008-08-05 21:41 . 2004-10-12 14:40 2,255,360 --a------ C:\WINDOWS\system32\libavcodec.dll
2008-08-05 21:41 . 2004-10-12 14:46 1,761,280 --a------ C:\WINDOWS\system32\ffdshow.ax
2008-08-05 21:41 . 2004-10-05 16:16 395,776 --a------ C:\WINDOWS\system32\libmplayer.dll
2008-08-05 21:41 . 2004-10-12 14:42 262,144 --a------ C:\WINDOWS\system32\TomsMoComp_ff.dll
2008-08-05 21:41 . 2003-04-03 00:17 172,032 --a------ C:\WINDOWS\system32\ac3filter.ax
2008-08-05 21:41 . 2004-10-04 01:50 112,640 --a------ C:\WINDOWS\system32\libmpeg2_ff.dll
2008-08-05 15:36 . 2008-08-05 15:36 <REP> d-------- C:\Documents and Settings\*****\Application Data\Nero
2008-08-05 15:33 . 2008-08-05 15:45 <REP> d-------- C:\Program Files\Fichiers communs\Nero
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iTunes
2008-08-01 21:48 . 2008-08-01 21:48 <REP> d-------- C:\Program Files\iPod
2008-08-01 09:07 . 2008-08-01 09:09 <REP> d-------- C:\Documents and Settings\*****\Application Data\DeepBurner Pro
2008-08-01 08:53 . 2008-08-01 08:57 <REP> d-------- C:\Documents and Settings\*****\Application Data\Vso
2008-08-01 08:53 . 2008-08-01 08:53 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-08-01 08:53 . 2008-08-01 08:57 47,360 --a------ C:\Documents and Settings\*****\Application Data\pcouffin.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 12:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-08-28 14:03 3,818 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-08-28 14:03 --------- d-----w C:\Documents and Settings\*****\Application Data\Corel
2008-08-27 01:09 --------- d-----w C:\Documents and Settings\*****\Application Data\uTorrent
2008-08-25 00:50 --------- d-----w C:\Program Files\MSN Messenger
2008-08-25 00:33 96,384 ----a-w C:\WINDOWS\system32\drivers\sptd0893.sys
2008-08-22 16:14 --------- d-----w C:\Program Files\Hp
2008-08-22 16:14 --------- d-----w C:\Program Files\Hewlett-Packard
2008-08-18 23:45 --------- d-----w C:\Program Files\Java
2008-08-13 21:33 --------- d-----w C:\Program Files\Fichiers communs\Ahead
2008-08-13 21:23 --------- d-----w C:\Program Files\Bonjour
2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-19 02:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 02:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-19 02:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 02:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 02:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 02:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 02:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-19 02:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-19 02:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-19 02:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:45 --------- d-----w C:\Program Files\UnivLaval
2008-07-17 14:47 --------- d-----w C:\Program Files\QuickTime
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:44 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-23 15:10 670,208 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-06-23 15:10 3,088,384 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-20 17:47 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:47 247,808 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:47 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:33 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-01-30 19:42 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-08-03 18:55 314 ----a-w C:\Program Files\INSTALL.LOG
2003-09-16 05:19 99,544 ----a-w C:\WINDOWS\inf\virprn.exe
2003-09-16 05:19 90,624 ----a-w C:\WINDOWS\inf\prtproc.dll
2003-09-16 05:19 18,950 ----a-w C:\WINDOWS\inf\virpntd.dll
2003-09-16 05:19 10,240 ----a-w C:\WINDOWS\inf\virport.dll
2007-03-02 14:29 88 --sh--r C:\WINDOWS\system32\BE42FD7F47.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-13 22:33 15360]
"DWQueuedReporting"="C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 20:29 39264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-14 19:02 7573504]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-04 01:46 761948]
"Cpqset"="C:\Program Files\HPQ\Default Settings\cpqset.exe" [2006-01-26 19:18 40960]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 13:23 1187840]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 17:48 479232]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 10:26 266497]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AppleSyncNotifier"="C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 09:47 116040]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-05-27 10:50 413696]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2008-07-30 10:47 289064]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"TrojanScanner"="C:\Program Files\Trojan Remover\Trjscan.exe" [2008-08-27 13:57 916560]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-18 07:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-11-29 03:17 55824 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-13 22:33 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Pavilion Webcam Tray Icon.lnk - C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe [2006-09-14 23:38:18 102400]
Universite Laval Client VPN ULaval.lnk - C:\Program Files\UnivLaval\vpngui.exe [2007-06-28 12:38:06 1528880]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mdc]
2005-05-16 15:51 294912 C:\WINDOWS\system32\notification.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide de HP Photosmart Premier.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide de HP Photosmart Premier.lnk
backup=C:\WINDOWS\pss\Démarrage rapide de HP Photosmart Premier.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Universite Laval Client VPN ULaval.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Universite Laval Client VPN ULaval.lnk
backup=C:\WINDOWS\pss\Universite Laval Client VPN ULaval.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^*****^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]
path=C:\Documents and Settings\*****\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^*****^Menu Démarrer^Programmes^Démarrage^Microsoft Office OneNote 2003 Quick Launch.lnk]
path=C:\Documents and Settings\*****\Menu Démarrer\Programmes\Démarrage\Microsoft Office OneNote 2003 Quick Launch.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Quick Launch.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-09 11:09 63712 C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-06-27 19:03 152872 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-07-30 10:47 289064 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-05-27 10:50 413696 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
--------- 2006-02-09 12:52 643072 C:\WINDOWS\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\UnivLaval\\ipsecdialer.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\Avira\\AntiVir PersonalEdition Classic\\avadmin.exe"=

S3 Flash1;Flash1;C:\SwSetup\SP38062\winphlash\Flash1.sys [2006-03-01 17:54]
S3 WinPhlash;WinPhlash;C:\SwSetup\SP38062\winphlash\PHLASHNT.SYS [2006-10-19 13:52]
.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - ORPHANS REMOVED - - - -

SSODL-setcfg-{011130DF-EC5C-938F-5AA9-08F64E7D145F} - C:\Program Files\kohvfuc\setcfg.dll
MSConfigStartUp-msgshstr - C:\WINDOWS\system32\rkhsberu.exe



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 16:47:08
Windows 5.1.2600 Service Pack 3 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Program Files\HPQ\Default Settings\cpqset.exe?????? ???@???????????????@? ????P????????@???????@

Balayage des fichiers cachés ...


**************************************************************************
.
Temps d'accomplissement: 2008-08-29 16:51:27
ComboFix-quarantined-files.txt 2008-08-29 20:50:24
ComboFix2.txt 2008-08-29 19:02:44
ComboFix3.txt 2008-08-29 17:39:32

Pre-Run: 25,878,962,176 octets libres
Post-Run: 25,872,248,832 octets libres

244 --- E O F --- 2008-08-26 00:26:43
0
Réponse 16 / 21
JP08
30 août 2008 à 01:56
Cette fois, ComboFix semble avoir réglé le problèmes...dumoins je n'ai plus de fenêtre qui apparaît me disant que mon ordi est infecté par un trojan...

Est-ce qu'il y reste des choses à faire? Je dois poster un log de HiJackThis??

Merci,

JP
0
Réponse 17 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 août 2008 à 09:44
parfait remets un hijackhtis pour verifier
0
Réponse 18 / 21
JP08
30 août 2008 à 16:55
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:54:05, on 2008-08-30
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\UnivLaval\cvpnd.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\MDC\AEGIS Client\mgr8021x.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\iTunes\iTunes.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceHelper.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\******\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "C:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Pavilion Webcam Tray Icon.lnk = C:\Program Files\Hewlett-Packard\HP Pavilion Webcam\HPWebcam.exe
O4 - Global Startup: Universite Laval Client VPN ULaval.lnk = C:\Program Files\UnivLaval\vpngui.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://hp-consumer.my.aol.qc.ca/?icid=notebook
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - https://www.touslesdrivers.com/index.php?v_page=29
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O20 - Winlogon Notify: mdc - C:\WINDOWS\SYSTEM32\notification.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\UnivLaval\cvpnd.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
0
Réponse 19 / 21
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
30 août 2008 à 19:35
cela a l'air bon

juste pour verifier: analyse ce ficheir sur virus total https://www.virustotal.com/gui/

C:\WINDOWS\SYSTEM32\notification.dll


______________________


mettre a jour internet explorer
https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html


_______________________


en complement de antivir mets malwarebyte antimalare et si une infection trouvée colles le rapport:


https://www.malekal.com/tutoriel-malwarebyte-anti-malware/














si rien dans malwarebyte et le fichier est ok sur virus total c'est bon pour toi





pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

https://forum.pcastuces.com/sujet.asp?f=25&s=35606
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/
0
Réponse 20 / 21
JP08
31 août 2008 à 17:04
Bon...ils disent:

Fichier notification.dll reçu le 2007.10.18 14:12:06 (CET)
Situation actuelle: terminé
Résultat: 0/32 (0%)
Size=294912 bytes

Le scan de Malwarebytes' n'a rien détecté

Merci bcp pour ton aide jlpjlp...

BTW est ce qu je dois changer le titre de mon post maintenant que le problème est résolu??
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses