aide pour utiliser le logiciel Hijack This Résolu

Question

Bonjour,
mon pc est infecte. J'ai telecharge le Hijack This . Cependant il est note qu'il est preferable de faire appel a une personne experimenter avant d'utiliser le programme. 
j'ai copier le rapport editer par  Hijack This 
merci de m'aider a regler mon probleme

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:14, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\system32\Rundll32.exe
H:\WINDOWS\system32undll32.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Messenger\msmsgs.exe
H:\WINDOWS\system32	askmgr.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - H:\Program Files\Search Settings\kb127\SearchSettings.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCFCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SearchSettings] H:\Program Files\Search Settings\SearchSettings.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] H:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [000000af] rundll32.exe "H:\WINDOWS\system32\habfnsrv.dll",b
O4 - HKLM\..\Run: [BM8f3315b6] Rundll32.exe "H:\WINDOWS\system32\vdlsajdl.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [gmosc] "h:\documents and settings\user\local settings\application data\gmosc.exe" gmosc
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u7-windows-i586-jc.cab&AuthParam=1580978829_3fac487ff39b191ded7866fc4973d48d&ext=.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - G:\Player\__CDS2.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: lxcf_device -   - H:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: (no name) - http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg

Destrio5 · Answer

Salut,

Ton PC est très infecté.

---> Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

wasselie · Answer

C'est fait, voici le rapport. -----------\ ToolBar S&D 1.2.0 XP/Vista Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2 X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.00GHz ) BIOS : Award Medallion BIOS v6.00PG USER : User ( Administrator ) BOOT : Normal boot Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated) A:\ (USB) C:\ (USB) D:\ (USB) E:\ (USB) F:\ (USB) G:\ (CD or DVD) H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go "H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 ) Option : [1] ( 16/09/2008|14:48 ) -----------\ Recherche de Fichiers / Dossiers ... H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf H:\DOCUME~1\User\APPLIC~1\Search Settings H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127 H:\Program Files\Search Settings H:\Program Files\Search Settings\kb127 H:\Program Files\Search Settings\SearchSettings.exe -----------\ [..\Internet Explorer\Main] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="H:\WINDOWS\system32\blank.htm" "Start Page"="https://www.google.com/?gws_rd=ssl" "Search Page"="https://www.google.com/?gws_rd=ssl" "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html" "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home" "SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028" "CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028" --------------------\ Recherche d'autres infections H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat [b]==> EGDACCESS <==/b H:\WINDOWS\system32\NmVEOXbc.ini H:\WINDOWS\system32\NmVEOXbc.ini2 H:\WINDOWS\system32\wHhjTBeg.ini H:\WINDOWS\system32\wHhjTBeg.ini2 [b]==> VUNDO <==/b --------------------\ Cracks & Keygens .. H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\PowerDVD6-Keygen.exe H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen eadme.txt H:\DOCUME~1\User\Mes documents\Power DVD 6\PowerDVD6-Keygen\SoftArchive.NeT.url H:\DOCUME~1\User\Mes documents\V7.7.5.1\keygen.exe 1 - "H:\ToolBar SD\TB_1.txt" - 16/09/2008|14:49 - Option : [1] -----------\ Fin du rapport a 14:49:32,09

Destrio5 · Answer

Fais l'option 2 de ToolBar S&D.

wasselie · Answer

OK j'ai selectionné l'option 2 
voici le rapport 
-----------\  ToolBar S&D 1.2.0   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : Award Medallion BIOS v6.00PG
   USER : User ( Administrator )
   BOOT : Normal boot
   Antivirus : Avira AntiVir PersonalEdition 8.0.1.27 (Activated)
   A:\ (USB)
   C:\ (USB)
   D:\ (USB)
   E:\ (USB)
   F:\ (USB)
   G:\ (CD or DVD)
   H:\ (Local Disk) - NTFS - Total : 232 Go Free : 208 Go

   "H:\ToolBar SD" ( MAJ : 14-09-2008|23:30 )
   Option : [2] ( 16/09/2008|14:59 )

   -----------\ SUPPRESSION

   Supprime! - H:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf
   Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings\kb127
   Supprime! - H:\Program Files\Search Settings\kb127
   Supprime! - H:\Program Files\Search Settings\SearchSettings.exe
   Supprime! - H:\DOCUME~1\User\APPLIC~1\Search Settings
   Supprime! - H:\Program Files\Search Settings

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="H:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.com/?gws_rd=ssl"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.msn.com/fr-fr/"
   "SearchAssistant"="http://www.crawler.com/search/ie.aspx?tb_id=66028"
   "CustomizeSearch"="http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028"


   --------------------\  Recherche d'autres infections

 
   H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.dat
   H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc.exe
   H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_nav.dat
   H:\DOCUME~1\User\LOCALS~1\APPLIC~1\gmosc_navps.dat
   [b]==> EGDACCESS <==/b

   H:\WINDOWS\system32\NmVEOXbc.ini
   H:\WINDOWS\system32\NmVEOXbc.ini2

Destrio5 · Answer

---> Supprime ToolBar S&D

- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau : 
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 

- Double-clique sur Navilog1.exe afin de lancer l'installation

- Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau

- Appuie sur F ou f  puis valide par Entrée

- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options

- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix

- Patiente jusqu'au message : *** Analyse Termine le ..... ***

- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse

- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt

N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

wasselie · Answer

Je suis allée dans le C:\fixnvi.txt pour trouver le fichier 
l'analyse est terminé et il est demander d'appuyer sur une touche pour continuer .

Search Navipromo version 3.6.5 commencé le 16/09/2008 à 15:15:47,79

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis H:\Program Files
avilog1
Session actuelle : "User" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "H:\WINDOWS" ***


*** Recherche dossiers dans "H:\Program Files" ***


*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "h:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "H:\Documents and Settings\User\applic~1" *** 


*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" *** 


*** Recherche dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "H:\WINDOWS\system32" *

* Recherche dans "H:\Documents and Settings\User\locals~1\applic~1" * 

* Recherche dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***

HKEY_CURRENT_USER\Software\Lanconfig trouvé ! 

*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "H:\WINDOWS\system32" :


* Dans "H:\Documents and Settings\User\locals~1\applic~1" : 

gmosc.dat trouvé !
gmosc.exe trouvé !
gmosc_nav.dat trouvé !
gmosc_navps.dat trouvé !

* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat Montorgueil absent !
Certificat OOO-Favorit trouvé !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

H:\WINDOWS\system32\NmVEOXbc.ini2 trouvé ! infection Vundo possible non traitée par cet outil !
H:\WINDOWS\system32\wHhjTBeg.ini2 trouvé ! infection Vundo possible non traitée par cet outil !


*** Analyse terminée le 16/09/2008 à 15:19:01,32 ***

Destrio5 · Answer

Relance Navilog1, fais l'option 2 et poste le rapport.

wasselie · Answer

c'est fait voici le rapport 


Clean Navipromo version 3.6.5 commencé le 16/09/2008 à 15:30:24,15

Outil exécuté depuis H:\Program Files
avilog1
Session actuelle : "User" 

Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS

Mode suppression automatique 
avec prise en charge résultats Catchme et GNS


Nettoyage exécuté au redémarrage de l'ordinateur

 
*** fsbl1.txt non trouvé ***
(Assurez-vous que Catchme n'avait rien trouvé lors de la recherche)
 

*** Suppression avec sauvegardes résultats GenericNaviSearch ***

* Suppression dans "H:\WINDOWS\System32" *


* Suppression dans "H:\Documents and Settings\User\locals~1\applic~1" * 


* Suppression dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Suppression dossiers dans "H:\WINDOWS" ***


*** Suppression dossiers dans "H:\Program Files" ***


*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Suppression dossiers dans "H:\Documents and Settings\All Users\menudm~1" ***


*** Suppression dossiers dans "h:\docume~1\alluse~1\applic~1" ***


*** Suppression dossiers dans "H:\Documents and Settings\User\applic~1" *** 


*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Suppression dossiers dans "H:\Documents and Settings\User\locals~1\applic~1" *** 


*** Suppression dossiers dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Suppression dossiers dans "H:\Documents and Settings\User\menudm~1\progra~1" *** 



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu H:\WINDOWS\Temp effectué !
Nettoyage contenu H:\Documents and Settings\User\locals~1\Temp effectué !

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Suppression avec sauvegardes nouveaux fichiers Instant Access :

2)Recherche, création sauvegardes et suppression Heuristique :


* Dans "H:\WINDOWS\system32" *


* Dans "H:\Documents and Settings\User\locals~1\applic~1" * 


gmosc.exe trouvé ! 
Copie gmosc.exe réalisée avec succès !
gmosc.exe supprimé !

gmosc.dat trouvé ! 
Copie gmosc.dat réalisée avec succès !
gmosc.dat supprimé !

gmosc_nav.dat trouvé ! 
Copie gmosc_nav.dat réalisée avec succès !
gmosc_nav.dat supprimé !

gmosc_navps.dat trouvé ! 
Copie gmosc_navps.dat réalisée avec succès !
gmosc_navps.dat supprimé !


* Dans "H:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok


*** Certificats ***

Certificat Egroup supprimé !
Certificat Electronic-Group supprimé !
Certificat Montorgueil absent !
Certificat OOO-Favorit supprimé !
Certificat Sunny-Day-Design-Ltdt absent !

*** Nettoyage terminé le 16/09/2008 à 15:33:29,62 ***

Destrio5 · Answer

---> Tu peux désinstaller Navilog1

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

wasselie · Answer

je n'arrive pas a télécharger ComboFix 
j'ai fais une recherche dans le Pc et j'ai trouve un fichier que j'ai copie

PUSHD "H:\32788R22FWJFW\" 

IF NOT EXIST H:\WINDOWS\system32\cmd.exe GOTO Not_NT 

VER  1>temp00 

H:\WINDOWS\system32\FIND.exe "Microsoft Windows [Version 5.2.3790]" temp00  1>NULL 

IF NOT ERRORLEVEL 1 GOTO Not_NT 

H:\WINDOWS\system32\FIND.exe "Windows XP" temp00  1>NULL 

HANDLE   | SED -r "/<Non-existant Process> pid: ([0-9]*) .*/!d; s//@Nircmd KillProcess /\1/"  1>temp00.bat 

CALL temp00.bat 

PV -o"%i	%l"   | SED "/	.*\nircmd\.inf$/!d; s///; s/./@pv -kfi &/"  1>temp01.bat 

CALL temp01.bat 

DEL /Q temp0?.bat temp00  2>NULL 

=============================================

ALLUSERSPROFILE=H:\Documents and Settings\All Users
APPDATA=H:\Documents and Settings\User\Application Data
CFLDR=32788R22FWJFW
CLIENTNAME=Console
CommonProgramFiles=H:\Program Files\Fichiers communs
COMPUTERNAME=PROPRIETAIRE
ComSpec=H:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=H:
HOMEPATH=\Documents and Settings\User
KMD=CF25636.exe
LOGONSERVER=\PROPRIETAIRE
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=H:\32788R22FWJFW;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\system32\wbem;H:\Program Files\Internet Explorer;;H:\Program Files\Windows Live\Mail\;H:\Program Files\Windows Live\Messenger\;H:\WINDOWS\system32;H:\WINDOWS;H:\WINDOWS\System32\Wbem;H:\PROGRA~1\MICROS~2\Office
PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 3, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0403
ProgramFiles=H:\Program Files
PROMPT=$
SESSIONNAME=Console
sfxcmd="H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe" 
sfxname=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\ComboFix[1].exe
SYSTEM=H:\WINDOWS\system32
SystemDrive=H:
SystemRoot=H:\WINDOWS
TEMP=H:\DOCUME~1\User\LOCALS~1\Temp
TMP=H:\DOCUME~1\User\LOCALS~1\Temp
USERDOMAIN=PROPRIETAIRE
USERNAME=User
USERPROFILE=H:\Documents and Settings\User
windir=H:\WINDOWS

=============================================


IF NOT DEFINED sfxname GOTO END 

CALL sfx.cmd 

IF /I "H:\32788R22FWJFW" NEQ "H:\32788R22FWJFW" GOTO Abort 

IF EXIST "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" DEL "H:\DOCUME~1\User\LOCALS~1\Temp\32788R22FWJFW32788R22FWJFW.log" 
SteelWerX Extended Configuration Access Control Lists
Written by Bobbi Flekman 2006 (C)
Ownerchange for "H:\WINDOWS\system32\cmd.exe" to Administrators group was successful

rem COPY /Y "H:\WINDOWS\system32\cmd.exe" "H:\WINDOWS\system32\CF25636.exe" 

(
SET "FileName=ComboFix[1]"  
 SET "FilePath=H:\Documents and Settings\User\Local Settings\Temporary Internet Files\Content.IE5\89IBO1AR\" 
) 

SET FileName  1>FileName 2>NULL 

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName   || (
Nircmd infobox "You cannot rename ComboFix as ComboFix[1]~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""  
 GOTO END 
) 

IF EXIST "H:\WINDOWS\system32\cmd.cfexe" MOVE /Y "H:\WINDOWS\system32\cmd.cfexe" "H:\DOCUME~1\User\LOCALS~1\Temp" 

CD .. 

IF DEFINED cfldr RD /S/Q "32788R22FWJFW"

Destrio5 · Answer

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

wasselie · Answer

C'est fait j'ai supprimé tout ce qu'il a trouvé 
et voici le rapport 

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1159
Windows 5.1.2600 Service Pack 2

16/09/2008 16:19:04
mbam-log-2008-09-16 (16-19-04).txt

Type de recherche: Examen rapide
Eléments examinés: 44560
Temps écoulé: 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 9
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9e4ec44a-efa5-4ecd-91ba-953e60f06167} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm8f3315b6 (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: h:\windows\system32\cbxoevmn  -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
H:\WINDOWS\system32\wTR02 (Trojan.Agent) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
H:\WINDOWS\system32\cbXOEVmN.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\NmVEOXbc.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\NmVEOXbc.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\habfnsrv.dll (Trojan.Vundo.H) -> Delete on reboot.
H:\WINDOWS\system32\vrsnfbah.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\vdlsajdl.dll (Trojan.Vundo) -> Delete on reboot.
H:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.
H:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.xml (Trojan.Vundo) -> Quarantined and deleted successfully.
H:\WINDOWS\BM8f3315b6.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout

---> Essaie de lancer ComboFix

wasselie · Answer

voici le message d'erreur que j'obtiens
YOU cannot rename ComboFix as ComboFix [1]  Please use another name, preferbaly made up of alphanumeric ic characters

Destrio5 · Answer

Télécharge-le dans Mes documents.

wasselie · Answer

C'est fait ComboFix 08-09-15.02 - User 2008-09-16 16:44:00.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.709 [GMT 11:00] Lancé depuis: H:\Documents and Settings\User\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . H:\Documents and Settings\User avmonlog H:\WINDOWS\system32\chbsofdn.ini H:\WINDOWS\system32\emrynqvk.dll H:\WINDOWS\system32\MSINET.oca H:\WINDOWS\system32 asoebss.dll H:\WINDOWS\system32\ukdkscni.ini H:\WINDOWS\system32\wHhjTBeg.ini H:\WINDOWS\system32\wHhjTBeg.ini2 . ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-16 au 2008-09-16 )))))))))))))))))))))))))))))))))))) . 2008-09-16 16:08 . 2008-09-16 16:08 d-------- H:\Program Files\Malwarebytes' Anti-Malware 2008-09-16 16:08 . 2008-09-16 16:08 d-------- H:\Documents and Settings\User\Application Data\Malwarebytes 2008-09-16 16:08 . 2008-09-16 16:08 d-------- H:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-16 16:08 . 2008-09-10 00:04 38,528 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-16 16:08 . 2008-09-10 00:03 17,200 --a------ H:\WINDOWS\system32\drivers\mbam.sys 2008-09-16 16:03 . 2008-09-16 16:03 d-------- H:\Documents and Settings\User\Application Data\GoodSync 2008-09-16 16:02 . 2008-09-16 16:22 d-------- H:\Program Files\Siber Systems 2008-09-16 15:14 . 2008-09-16 15:42 d-------- H:\Program Files\Navilog1 2008-09-16 14:48 . 2008-09-16 15:00 3,178 --a------ H:\Documents and Settings\Orph.egd 2008-09-16 14:01 . 2008-09-16 14:01 d-------- H:\Program Files\Trend Micro 2008-09-15 15:38 . 2008-09-15 15:38 d-------- H:\Program Files\Avira 2008-09-15 15:17 . 2008-09-15 15:17 d-------- H:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP 2008-09-15 15:16 . 2008-09-15 15:16 d-------- H:\Program Files\Fichiers communs\Wise Installation Wizard 2008-09-14 18:15 . 2008-09-15 15:15 d-------- H:\Program Files\Spybot - Search & Destroy 2008-09-14 18:15 . 2008-09-15 15:15 d-------- H:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-09-13 03:55 . 2008-09-13 03:55 d-------- H:\Documents and Settings\User\Application Data\Nettordinateur 2008-09-12 20:22 . 2008-09-15 15:17 d-------- H:\Program Files\Mozilla Firefox(2) 2008-09-12 20:22 . 2008-09-12 20:22 0 --a------ H:\WINDOWS sreg.dat 2008-09-12 20:05 . 2008-09-12 20:05 d-------- H:\Documents and Settings\All Users\Application Data\Nettordinateur 2008-09-12 18:43 . 2008-09-15 15:17 d-------- H:\Documents and Settings\All Users\Application Data\Lavasoft 2008-09-12 18:21 . 2008-09-12 18:21 d-------- H:\Program Files\Fichiers communs\Nero 2008-09-12 18:20 . 2008-09-12 18:20 d-------- H:\WINDOWS\InCD 2008-09-12 18:20 . 2008-09-12 18:20 d-------- H:\Program Files\Ahead 2008-09-12 18:20 . 2005-01-28 18:02 2,658,304 --------- H:\WINDOWS\NuNinst.exe 2008-09-12 18:20 . 2005-01-27 19:08 99,200 --------- H:\WINDOWS\system32\drivers\InCDfs.sys 2008-09-12 18:20 . 2005-06-18 21:19 57,929 --------- H:\WINDOWS\NuNinst.cfg 2008-09-12 18:20 . 2005-01-27 19:07 28,928 --------- H:\WINDOWS\system32\drivers\InCDpass.sys 2008-09-12 18:20 . 2005-01-28 19:07 27,776 --------- H:\WINDOWS\system32\drivers\InCDrm.sys 2008-09-12 18:20 . 2005-01-27 19:08 8,704 --------- H:\WINDOWS\system32\drivers\InCDrec.sys 2008-09-12 12:59 . 2008-09-12 12:59 d-------- H:\Program Files\Attack on Pearl Harbor Demo 2008-09-11 21:20 . 2008-09-12 12:59 d-------- H:\Program Files\LimeWire 2008-09-11 20:31 . 2008-09-12 12:59 d-------- H:\Program Files\KaraFun 2008-09-11 20:16 . 2008-09-12 12:59 d-------- H:\Program Files\Minilyrics 2008-09-11 20:16 . 2008-09-11 20:43 d-------- H:\Lyrics 2008-09-11 20:16 . 2008-09-12 12:59 d-------- H:\Documents and Settings\User\Application Data\MiniLyrics 2008-09-08 13:27 . 2008-09-12 12:59 d-------- H:\Documents and Settings\Administrateur\Modèles 2008-09-08 13:27 . 2008-09-08 13:29 d-------- H:\Documents and Settings\Administrateur\Mes documents 2008-09-08 13:27 . 2008-09-12 12:59 d---s---- H:\Documents and Settings\Administrateur 2008-09-07 07:51 . 1998-11-13 13:16 308,224 --a------ H:\WINDOWS\IsUn040c.exe 2008-09-07 07:51 . 2008-09-07 07:51 256 --a------ H:\WINDOWS\_delis32.ini 2008-09-06 11:06 . 2008-09-12 08:14 d-------- H:\Documents and Settings\User\Application Data\LimeWire 2008-09-06 09:27 . 2008-09-06 09:27 d-------- H:\WINDOWS\Sun 2008-09-06 09:27 . 2008-09-06 09:27 d-------- H:\Program Files\Sun 2008-09-06 09:27 . 2008-06-10 02:32 73,728 --a------ H:\WINDOWS\system32\javacpl.cpl 2008-09-06 09:26 . 2008-09-06 09:27 d-------- H:\Program Files\Java 2008-09-06 09:24 . 2008-09-06 09:24 d-------- H:\Program Files\Fichiers communs\Java 2008-09-06 09:16 . 2008-09-15 15:16 d-------- H:\Program Files\Free Audio Pack 2008-09-02 18:19 . 2008-09-02 18:19 d-------- H:\WINDOWS\system32\IOSUBSYS 2008-09-02 18:19 . 2006-10-05 13:42 2,560 --------- H:\WINDOWS\system32\drivers\cdralw2k.sys 2008-09-02 18:19 . 2006-10-05 13:42 2,432 --------- H:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-08-30 13:40 . 2008-09-13 04:01 d-------- H:\WINDOWS\system32\NtmsData 2008-08-30 13:18 . 2008-09-06 08:52 d-------- H:\Program Files\SIW 2008-08-27 19:47 . 2008-09-02 18:19 d-------- H:\Program Files\Picasa2 2008-08-24 18:40 . 2008-09-07 07:53 d-------- H:\Program Files\Yahoo! 2008-08-24 18:40 . 2008-08-24 18:40 d-------- H:\Program Files\CCleaner 2008-08-24 14:59 . 2008-08-24 19:04 d-a------ H:\Documents and Settings\All Users\Application Data\TEMP 2008-08-16 19:05 . 2008-08-17 18:01 d-------- H:\Program Files\Fichiers communs\Symantec Shared 2008-08-16 10:31 . 2008-09-02 12:43 d-------- H:\WINDOWS\system32\Adobe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-16 04:41 --------- d-----w H:\Program Files\Lx_cats 2008-09-15 10:40 --------- d-----w H:\Documents and Settings\User\Application Data\dvdcss 2008-09-15 04:38 --------- d-----w H:\Documents and Settings\All Users\Application Data\Avira 2008-09-12 01:57 --------- d-----w H:\Program Files\InterActual 2008-09-06 20:53 --------- d-----w H:\Program Files\Windows Live Toolbar 2008-09-06 20:52 --------- d--h--w H:\Program Files\InstallShield Installation Information 2008-08-17 19:32 --------- d-----w H:\Program Files\Google 2008-08-04 03:36 --------- d-----w H:\Program Files\Windows Media Connect 2 2008-08-01 08:52 --------- d-----w H:\Documents and Settings\User\Application Data\ArcSoft 2008-07-28 07:16 --------- d-----w H:\Documents and Settings\User\Application Data\Canon 2008-07-26 01:22 --------- d-----w H:\Program Files\Canon 2008-07-26 01:13 --------- d-----w H:\Program Files\ArcSoft 2008-07-23 08:41 --------- d-----w H:\Documents and Settings\User\Application Data\CyberLink 2008-07-21 08:05 --------- d-----w H:\Documents and Settings\User\Application Data\vlc 2008-07-20 20:06 --------- d-----w H:\Program Files\VideoLAN 2008-07-18 11:10 94,920 ----a-w H:\WINDOWS\system32\cdm.dll 2008-07-18 11:10 53,448 ----a-w H:\WINDOWS\system32\wuauclt.exe 2008-07-18 11:10 45,768 ----a-w H:\WINDOWS\system32\wups2.dll 2008-07-18 11:10 36,552 ----a-w H:\WINDOWS\system32\wups.dll 2008-07-18 11:09 563,912 ----a-w H:\WINDOWS\system32\wuapi.dll 2008-07-18 11:09 325,832 ----a-w H:\WINDOWS\system32\wucltui.dll 2008-07-18 11:09 205,000 ----a-w H:\WINDOWS\system32\wuweb.dll 2008-07-18 11:09 1,811,656 ----a-w H:\WINDOWS\system32\wuaueng.dll 2008-07-18 11:07 270,880 ----a-w H:\WINDOWS\system32\mucltui.dll 2008-07-18 11:07 210,976 ----a-w H:\WINDOWS\system32\muweb.dll 2008-07-07 20:31 253,952 ----a-w H:\WINDOWS\system32\es.dll 2008-06-24 16:23 74,240 ----a-w H:\WINDOWS\system32\mscms.dll 2008-06-24 07:12 295,936 ------w H:\WINDOWS\system32\wmpeffects.dll 2008-06-23 15:40 663,552 ----a-w H:\WINDOWS\system32\wininet.dll 2008-06-20 17:41 247,808 ----a-w H:\WINDOWS\system32\mswsock.dll 2008-06-06 08:54 35,152 -c--a-w H:\Documents and Settings\User\Application Data\GDIPFONTCACHEV1.DAT 2008-06-01 07:15 15,397 -c--a-w H:\Program Files\settings.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="H:\Program Files\Messenger\msmsgs.exe" [2004-10-14 1694208] "swg"="H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-07-25 171448] "Picasa Media Detector"="H:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2006-06-01 7618560] "NvMediaCenter"="H:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 86016] "LXCFCATS"="H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-21 73728] "LVCOMSX"="H:\WINDOWS\system32\LVCOMSX.EXE" [2004-12-14 221184] "LogitechVideoRepair"="H:\Program Files\Logitech\Video\ISStart.exe" [2004-12-14 458752] "LogitechVideoTray"="H:\Program Files\Logitech\Video\LogiTray.exe" [2004-12-14 217088] "Adobe Reader Speed Launcher"="H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "RemoteControl"="H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "SunJavaUpdateSched"="H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "InCD"="H:\Program Files\Ahead\InCD\InCD.exe" [2005-01-28 1381376] "avgnt"="H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "nwiz"="nwiz.exe" [2006-06-01 H:\WINDOWS\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="H:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] H:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Microsoft Office.lnk - H:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] --a--c--- 2007-01-15 16:14 147456 H:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2004-08-04 00:54 15360 H:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a--c--- 2006-01-12 15:40 155648 H:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2004-11-02 20:24 32768 H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] --a--c--- 2005-05-03 18:43 69632 H:\WINDOWS\ALCMTR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Raccourci vers la page des propriétés de High Definition Audio] --------- 2005-01-07 17:07 61952 H:\WINDOWS\system32\HdAShCut.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] --a--c--- 2005-06-29 13:25 14720000 H:\WINDOWS\RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "NMIndexingService"=3 (0x3) "NBService"=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "H:\Program Files\Messenger\msmsgs.exe"= "H:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "H:\Program Files\Windows Live\Messenger\livecall.exe"= "H:\WINDOWS\system32\dpvsetup.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "12011:TCP"= 12011:TCP:NortonAV "12914:TCP"= 12914:TCP:NortonAV R3 3xHybrid;3xHybrid service;H:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2005-05-03 710144] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{0CCADB30-E6E0-4190-B957-07475720491E} - (no file) BHO-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file) ShellExecuteHooks-{2E88B5AE-9737-415B-BE30-371B8E5DC001} - (no file) Notify-yayyWpQH - yayyWpQH.dll . ------- Examen supplémentaire ------- . FireFox -: Profile - H:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\ugo6h234.default\ FF -: plugin - H:\Program Files\Picasa2 pPicasa2.dll FF -: plugin - H:\Program Files\Yahoo!\Common pyaxmpb.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-16 16:45:15 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCFCATS = rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-09-16 16:46:42 ComboFix-quarantined-files.txt 2008-09-16 05:46:19 Avant-CF: 223,587,094,528 octets libres AprŠs-CF: 223,590,854,656 octets libres 202 --- E O F --- 2008-09-12 06:49:54

Destrio5 · Answer

- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : 
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/ 

- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse.

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]

** Ne fais l'étape 2 que si on te le demande, on doit d'abord examiner le premier rapport de SmitfraudFix

wasselie · Answer

Voila ,

SmitFraudFix v2.351

Rapport fait à 16:55:55,34, 16/09/2008
Executé à partir de H:\Documents and Settings\User\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
H:\Program Files\Picasa2\PicasaMediaDetector.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Windows Live\Messenger\usnsvc.exe
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\WINDOWS\system32
otepad.exe
H:\WINDOWS\explorer.exe
H:\Program Files\Windows Live\Messenger\msnmsgr.exe
H:\Program Files\Windows Live\Mail\wlmail.exe
h:\program files\avira\antivir personaledition classic\avcenter.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxcfPSWX.EXE
H:\WINDOWS\system32\lxcfcoms.exe
H:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» H:\


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» H:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User


»»»»»»»»»»»»»»»»»»»»»»»» H:\Documents and Settings\User\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» H:\DOCUME~1\User\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» H:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"SubscribedURL"="http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="H:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3A64E43F-C89F-4879-ACB1-DFC5DFB885A7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Destrio5 · Answer

Supprime SmitFraudFix.


---> Télécharge OTMoveIt2 à partir du lien ci-dessous : 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 

---> Enregistre le fichier sur le Bureau.

---> Double-clique sur le fichier OTMoveIt2.exe pour lancer l'outil.
Assure-toi que la case Unregister Dll's and Ocx's soit bien cochée.

---> Copie l'intégralité du texte ci-dessous et colle-le dans la fenêtre intitulée Paste List Of Files/Folders to Move.



H:\Documents and Settings\User\Application Data\Nettordinateur\
H:\Documents and Settings\All Users\Application Data\Nettordinateur\



---> Clique sur MoveIt! pour lancer la suppression.
Lorsqu'un résultat apparaît dans le cadre Results, clique sur Exit.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

---> Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

wasselie · Answer

Folder H:\Documents and Setting \User\Application Data\Nettordinateur\ not found.
Folder H:\Documents and Setting \All Users\Application Data\Nettordinateur\ not found.
 
OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09162008_171639

Destrio5 · Answer

---> Télécharge HostsXpert sur ton Bureau :
http://www.funkytoad.com/download/HostsXpert.zip

---> Décompresse-le (Clic droit >> Extraire ici)

---> Double-clique sur HostsXpert pour le lancer

---> clique sur le bouton "Restore MS Hosts File" puis ferme le programme

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur.

wasselie · Answer

c'est fait

Destrio5 · Answer

---> Mets à jour Internet Explorer :
http://www.microsoft.com/downloads/details.aspx?FamilyId=9AE91EBE-3385-447C-8A30-081805B2F90B&displaylang=fr

---> Poste un nouveau rapport HijackThis

wasselie · Answer

la mise à jour  de Internet Explorer est faite  

et voici le derinier rapport HijackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:39:56, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\WINDOWS\system32\LVCOMSX.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
H:\Program Files\Picasa2\PicasaMediaDetector.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
H:\Program Files\Windows Live\Messenger\usnsvc.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Windows Live\Mail\wlmail.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar1.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCFCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] "H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [InCD] H:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u7-windows-i586-jc.cab&AuthParam=1580978829_3fac487ff39b191ded7866fc4973d48d&ext=.cab
O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - G:\Player\__CDS2.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: lxcf_device -   - H:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: (no name) - http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg

Destrio5 · Answer

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     

O4 - HKLM\..\Run: [LVCOMSX] H:\WINDOWS\system32\LVCOMSX.EXE     

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"     

O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"     

O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe     

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O18 - Protocol: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - G:\Player\__CDS2.dll (file missing) 

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC et poste un dernier rapport HijackThis

wasselie · Answer

Le dernier rapport Hijack This
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:20, on 16/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Program Files\Ahead\InCD\InCDsrv.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\system32
vsvc32.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Program Files\Logitech\Video\LogiTray.exe
H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
H:\Program Files\Ahead\InCD\InCD.exe
H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Messenger\msmsgs.exe
H:\Program Files\Picasa2\PicasaMediaDetector.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\system32\LVComsX.exe
H:\Program Files\Logitech\Video\FxSvr2.exe
H:\Program Files\Windows Live\Mail\wlmail.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe
H:\WINDOWS\system32\wuauclt.exe
H:\WINDOWS\system32\wscntfy.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar1.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - H:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LXCFCATS] rundll32 H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LogitechVideoRepair] H:\Program Files\Logitech\Video\ISStart.exe 
O4 - HKLM\..\Run: [LogitechVideoTray] H:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [RemoteControl] "H:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] H:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "H:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "H:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Picasa Media Detector] H:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD44/JSCDL/jdk/6u7/jinstall-6u7-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u7-windows-i586-jc.cab&AuthParam=1580978829_3fac487ff39b191ded7866fc4973d48d&ext=.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - H:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - H:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: lxcf_device -   - H:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32
vsvc32.exe
O24 - Desktop Component 0: (no name) - http://img.hebus.com/hebus_2008/05/07/tn/080507163644_65.jpg

Destrio5 · Answer

Plus de trace d'infection.

As-tu encore des problèmes ou on peut passer à la dernière étape ?

wasselie · Answer

non c'est bon tout a l'air de tres bien marcher maintenant

Destrio5 · Answer

---> Supprime HostsXpert

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Tiens à jour Windows

---> Quand tu auras le temps, fais un scan complet avec Antivir et MBAM

WASSELIE · Answer

j'ai tout fait et tout fonctionne à merveille 
merci pour toutes ces infos et ton aide . je peux naviguer à nouveau sur le net sans problemes 
bonne continuation

Destrio5 · Answer

Bonne journée ;)

J'ai mis ton sujet en Résolu.

WASSELIE · Answer

oui mon probleme est resolu 
et encore merci

Aide pour utiliser le logiciel Hijack This

32 réponses

Votre réponse

Discussions similaires

Newsletters