Problème antivirus !

Marijon -  
 Marijon -
Bonjour à tous !

J'ai un sérieux problème ! Suite à un problème de clé usb, j'avais exposé un rapport de hackjick je crois (je ne sais plus trop le nom désolé !) où on m'avait expliqué que j'avais deux antivirus sur mon ordinateur et qu'il fallait que j'en garde qu'un seul, pour cela on m'a expliqué comment désinstaller un antivirus sauf que mon dieu ! Les gros problèmes ont commencé :s !

Ca a d'abord commencé (dès la désinstallation et donc le redémarrage de l'ordi) par des arrêts et redémarrage intempestifs de l'ordi (c'est à dire que dès que l'ordinateur redémarrer que j'étais sur ma session, un écran bleu s'affichait avec marqué ERROR ou problem et un long texte qui suivait enfin bon je n'avais pas le temps de lire! et hop 2 secondes après il s'éteignait), bon ce petit boucan finit, j'ai eu tous pleins de messages d'erreur dont celui qui remplace mon fond d'écran : "Warning! Spyware detected on your computer! Install an antivirus or spyware to clean your computer."
Ou alors celui qui s'affiche toutes les 30 secondes : "You have a security problem on your computer"
Ou bien celui à 10 minutes d'intervalle : "You have a security problem! Do you want to scan your computer for viruse?"

Tout pleins de messages comme ceci qui s'affiche et quand je clique sur "oui" je tombe sur un site internet où je dois payer.

J'avais aussi pendant un moment un problème où en faite mes données personnelles n'étaient pas sécurisées (rassurant!)

Donc bon bien sur j'installe des antivirus (de plusieurs sortes), même des logiciels exprès pour protéger mes données personnelles, je fais des analyses qui me disent que j'ai des virus, des problèmes en tout genre, je demande de réparer, ils peuvent pas ou je dois payer (ou alors ils peuvent mais quand je redémarre mon ordi c'est la même chose) et bien sur même avec mes milliers de logiciels que j'ai installé, les mêmes messages d'erreur s'affichent !

J'ai finit pas tout désinstaller parce que j'étais complètement perdu !

Et je le suis toujours ! C'est pourquoi j'implore votre aide s'il vous plait, qu'on puisse me guider, m'aider, me dire dans l'ordre ce qu'il faut faire (je crains devoir formater mon ordinateur :s mais honnètement s'il existait une solution pour réparer tout ca, ca m'arrangerait !).
Voila, en éspèrant vraiment que quelqu'un ai la bonté de m'aider :)...

Je suis dispo pour répondre ce soir et demain toute la journée (bon je serais pas collé à mon ordi mais j'essairai d'y aller régulièrement !)

Merci déjà d'avoir lu mon message !
A très bientôt.
Marion
Configuration: Windows XP
Internet Explorer 7.0

37 réponses

  • 1
  • 2
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir à tous les 2,

    jlpjlp, je me permets d'intervenir, car ça vaut la peine de faire remonter les fichiers.

    /|\ Attention, maneuvre à ne pas reproduire sur un autre ordi sous peine d'endommager le système

    On fait comme ça (manip assez rare) :

    Copie ou imprime les instructions avant

    Déconnecte toi d'internet et ferme toutes tes applications.

    Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    http://www.commentcamarche.net/forum/affich 8563623 probleme antivirus#11

    collect::[12]
    C:\WINDOWS\system32\TDSSnbbw.dll
    C:\WINDOWS\system32\drivers\TDSShpue.sys
    C:\WINDOWS\system32\TDSSoobr.dll
    C:\WINDOWS\system32\TDSSdwkj.dll
    C:\WINDOWS\system32\TDSSkrrt.dll
    C:\WINDOWS\system32\TDSSuhei.dll
    C:\WINDOWS\system32\TDSSrngn.dll
    C:\WINDOWS\system32\drivers\TDSSevri.sys
    C:\WINDOWS\system32\TDSSpqoi.dll
    C:\WINDOWS\system32\TDSSslsv.dll
    C:\WINDOWS\system32\TDSSgado.dll
    C:\WINDOWS\system32\TDSSoopu.dll
    C:\WINDOWS\system32\drivers\TDSSjjsm.sys
    C:\WINDOWS\system32\TDSScewy.dll
    C:\WINDOWS\system32\TDSSsrrp.dll
    C:\WINDOWS\system32\TDSSfpee.dll
    C:\WINDOWS\system32\TDSSrwtk.dll
    C:\WINDOWS\system32\kdohfwlzuyat.exe

    folder::
    C:\Documents and Settings\All Users\Application Data\Software Licensors


    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

    Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Réactive ton parefeu, ton antivirus, la garde de ton antispyware

    ComboFix créera ces fichiers sur ton Bureau :
    * Un fichier zippé nommé [b]Submit [Date Time].zip/b
    * Un second fichier nommé - CF-Submit.htm
    ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
    Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
    Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
    Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
    * Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
    Submit [Date Time].zip qui est sur ton Bureau.
    * Clique sur le fichier afin de le sélectionner.
    * Soumets le fichier en cliquant "OK"
    Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
    Prière de poster le rapport suivant dans ta prochaine réponse :
    - Combofix.txt

    2
  2. Marijon
     
    Mince ... :s j'ai effectivement passé ?cleaner et je n'ai donc plus qookbox(?), vraiment désolé ... Ca m'aurait bien sur pas déranger de vous aider (moi qui ai connu cette horreur d'infections partout, si mon aide aurait pu éviter le malheur a d'autre !!!)
    Vraiment désolé :s...
    Mais merci pour votre aide c'était vraiment gentil !
    Merci aussi pour m'avoir filer des logiciels de protection GRATUIT (:D)

    A bientot
    Marion.
    2
  3. toptitbal Messages postés 5341 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 232
     
    Bonjour

    Commence par faire un Hijackthis, qu'on voit un peu l'état des lieux ;-)

    Télécharge le fichier d’installation d’Hijackthis en cliquant sur ce lien

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    Enregistre HJTInstall.exe sur ton bureau.

    Double-clique sur HJTInstall.exe pour lancer le programme

    Tuto : https://www.malekal.com/tutoriel-hijackthis/
    http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Accepte la license en cliquant sur le bouton "I Accept"
    Choisis l'option "Do a system scan and save a log file"
    Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
    Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

    Colle le rapport que tu viens de copier sur ce forum
    1
  4. musbel56
     
    en effet j ai suivi chapeau les mec
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    colle un rapport hijackthis

    http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

    manuel :

    https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

    Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

    ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

    Ensuite avec Explorer créer un dossier c:\hijackthis
    Décompresser Hijackthis dans ce dossier.
    C'est important pour les sauvegardes."
    0
  7. Marijon
     
    Voici mon rappport : (mon dieu même en comprenant rien j'ai déjà honte de ce que je vais afficher ^^ c'est tellement omniprésent tous ces messages que j'ai même du mal à écrire !)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:33:11, on 23/09/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    C:\WINDOWS\sm56hlpr.exe
    C:\WINDOWS\system32\lphcl67j0e7cl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: mxlivemedia browser enhancer - {6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
    O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
    O4 - HKLM\..\Run: [lphcl67j0e7cl] C:\WINDOWS\system32\lphcl67j0e7cl.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [VirusRemover2008] C:\Program Files\VirusRemover2008\VRM2008.exe
    O4 - HKLM\..\Run: [PCPrivacyCleaner] C:\Program Files\PCPrivacyCleaner\pcpc.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [gkkunffdys] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ggjmagojrhmemae.dll" EntryPoint
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Somefox] C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
    O4 - HKCU\..\Run: [Antispyware PRO XP] "C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Media Player.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Antispyware PRO XP
    PCPrivacyCleaner
    antivirus XP

    bref tu es gavé

    ___________

    smit fraud fix (colle le rapport)

    1/ telecharger :

    http://siri.urz.free.fr/Fix/SmitfraudFix.php

    2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.
    0
  9. Marijon
     
    Oui gavé! Et encore ceux là ce sont ceux qui se sont incrustés sans mon accord sur mon ordi et que je n'ai jamais réussi à faire partir (alors imaginez avant les dizaines de logiciels que j'avais pour ma "sécurité" ^^)

    Bon bref le rapport (et je sens que je dois en avoir des infections :s !)

    SmitFraudFix v2.353

    Rapport fait à 20:47:54,40, 23/09/2008
    Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Wireless Console 2\wcourier.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    C:\WINDOWS\sm56hlpr.exe
    C:\WINDOWS\system32\lphcl67j0e7cl.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\ctfmon.exe
    C:\documents and settings\marijon\local settings\application data\yiigg.exe
    C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\DOCUME~1\Marijon\LOCALS~1\Temp\f.exe
    C:\Documents and Settings\Marijon\Bureau\SmitfraudFix\Policies.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    C:\WINDOWS\system32\tdssservers.dat détecté, utilisez un scanner de Rootkit
    C:\WINDOWS\system32\tdssinit.dll détecté, utilisez un scanner de Rootkit
    C:\WINDOWS\system32\tdssl.dll détecté, utilisez un scanner de Rootkit

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon\Application Data

    C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIJON\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1
    DNS Server Search Order: 192.168.1.3

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    -Un premier merci déjà de faire l'effort de m'aider ! C'est gentil :).
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    lance ce logiciel (exterminate-it)

    https://downloads.exterminate-it.com/install/ExterminateItSetup.exe

    et colle si il y a un rapport

    ______________

    puis

    redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée (et colle le rapport)

    ____________

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    a plus
    0
  11. Marijon
     
    Quand je lance exterminate-it et que je démarre le scan, il bloque tout le temps au même fichier (j'ai fini par le noter !) : c:\windows\system32\lphc167j0ecl.exe

    Je vais sinon redémarrer l'ordi et continuer ce qu'il y a de noter.
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    passe a la suite

    ___________

    redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée (et colle le rapport)

    ____________

    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

    _____________

    recolle un rapport smitfraudfix avec l'option 1

    a plus
    0
  13. Marijon
     
    Voici le rapport de SmitFraudFix : (du nouveau je n'ai plus le fond d'écran inquiétant que j'avais au départ !)

    SmitFraudFix v2.353

    Rapport fait à 21:47:53,70, 23/09/2008
    Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Je vais passer au truc de combofix.
    0
  14. lounes11 Messages postés 676 Statut Membre 11
     
    houla !!!!!! les infection sa fait mal au oueils tu télécharge koi toi xD
    0
  15. Marijon
     
    Le rapport de combofix :

    ComboFix 08-09-22.05 - Marijon 2008-09-23 22:12:27.1 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.646 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
    C:\Documents and Settings\Marijon\Application Data\rhcg67j0e7cl
    C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg.dat
    C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg.exe
    C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg_nav.dat
    C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg_navps.dat
    C:\Program Files\PCPrivacyCleaner
    C:\WINDOWS\system32\lphcl67j0e7cl.exe
    C:\WINDOWS\system32\phcl67j0e7cl.bmp
    C:\WINDOWS\system32\TDSSevri.dll
    C:\WINDOWS\system32\TDSShpue.dll
    C:\WINDOWS\system32\tdssinit.dll
    C:\WINDOWS\system32\TDSSjjsm.dll
    C:\WINDOWS\system32\tdssl.dll
    C:\WINDOWS\system32\tdssservers.dat
    D:\Autorun.inf

    ----- BITS: Il y a peut-être des sites infectés -----

    http://au.downloadj+|Cv+@J:NGD_DQ{ztHG.XH?V
    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_TDSSSERV
    -------\Service_TDSSserv

    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-23 22:14 . 3,839 C:\WINDOWS\system32\drivers\GETPADD.sys
    2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
    2008-09-23 20:48 . 2008-09-23 21:48 4,194 --a------ C:\WINDOWS\system32\tmp.reg
    2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
    2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
    2008-09-22 15:11 . 2008-09-22 15:11 167,936 --a------ C:\WINDOWS\system32\ggjmagojrhmemae.dll
    2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
    2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
    2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
    2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
    2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
    2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
    2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
    2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
    2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
    2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
    2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
    2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
    2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
    2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
    2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
    2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
    2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
    2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
    2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
    2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
    2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
    2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
    2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
    2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
    2008-09-02 14:51 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
    2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
    2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
    2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
    2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
    2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
    2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
    2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
    2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
    2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
    2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
    2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
    2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6259cd3c-276b-f1b2-6340-de75439958bb}]
    2008-09-22 15:11 167936 --a------ C:\WINDOWS\system32\ggjmagojrhmemae.dll

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
    "Antispyware PRO XP"="C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" [2008-09-21 974848]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
    "RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
    "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
    "IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
    "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
    "EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
    "Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
    "ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
    "ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
    "gkkunffdys"="C:\WINDOWS\system32\ggjmagojrhmemae.dll" [2008-09-22 167936]
    "nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
    "SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
    @="driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
    R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
    R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-yiigg - c:\documents and settings\marijon\local settings\application data\yiigg.exe
    HKLM-Run-lphcl67j0e7cl - C:\WINDOWS\system32\lphcl67j0e7cl.exe
    HKLM-Run-VirusRemover2008 - C:\Program Files\VirusRemover2008\VRM2008.exe

    .
    ------- Examen supplémentaire -------
    .
    R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.asus.com/
    O17 -: HKLM\CCS\Interface\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3

    O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
    C:\WINDOWS\Downloaded Program Files\oscan8.inf
    C:\WINDOWS\Downloaded Program Files\oscan81.ocx_x
    C:\WINDOWS\bdoscandellang.ini
    C:\WINDOWS\bdoscandel.exe
    C:\WINDOWS\Downloaded Program Files\live.ini
    C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
    C:\WINDOWS\Downloaded Program Files\lang.ini
    C:\WINDOWS\Downloaded Program Files\ipsupd.dll
    C:\WINDOWS\Downloaded Program Files\bdupd.dll
    C:\WINDOWS\Downloaded Program Files\libfn.dll
    C:\WINDOWS\Downloaded Program Files\bdcore.dll
    C:\WINDOWS\Downloaded Program Files\oscan8.ocx
    .

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-23 22:14:58
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    ------------------------ Autres processus actifs ------------------------
    .
    C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE
    C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE
    C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM32\NVSVC32.EXE
    C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE
    C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
    C:\WINDOWS\ATK0100\ATKOSD.EXE
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\ComboFix\pv.cfexe
    C:\WINDOWS\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-09-23 22:16:05 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-09-23 20:16:02

    Avant-CF: 29ÿ321ÿ789ÿ440 octets libres
    Après-CF: 29,458,464,768 octets libres

    195 --- E O F --- 2008-09-16 19:02:13
    0
  16. Marijon
     
    Et enfin le rapport SmitFraudFix avec option 1 :

    SmitFraudFix v2.353

    Rapport fait à 22:21:22,87, 23/09/2008
    Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est FAT32
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\WINDOWS\sm56hlpr.exe
    C:\WINDOWS\System32\Rundll32.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIJON\FAVORIS

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1
    DNS Server Search Order: 192.168.1.3

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Verdict docteur ? (moi j'ai un petit espoir parce que je n'ai plus tous ces messages inquiétant qui m'envahissaient !)
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour fusionner:

    http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

    puis

    Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    File::
    C:\WINDOWS\system32\ggjmagojrhmemae.dll
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\WINDOWS\system32\ggjmagojrhmemae.dll

    Registry::
    [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6259cd3c-276b-f1b2-6340-de75439958bb}]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Antispyware PRO XP"=-
    "gkkunffdys"=-

    Enregistre ce fichier sous le nom CFscript

    Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

    Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

    Remets aussi un rapport Hijackthis

    Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    _____________

    je nous mets ceci de coté pour voir

    C:\WINDOWS\system32\kdohfwlzuyat.exe
    C:\Documents and Settings\All Users\Application Data\Software Licensors
    C:\Program Files\Alwil Software
    C:\WINDOWS\system32\TDSSnbbw.dll
    C:\WINDOWS\system32\drivers\TDSShpue.sys
    C:\WINDOWS\system32\TDSSoobr.dll
    C:\WINDOWS\system32\TDSSdwkj.dll
    C:\WINDOWS\system32\TDSSkrrt.dll
    C:\WINDOWS\system32\TDSSuhei.dll
    C:\WINDOWS\system32\TDSSrngn.dll
    C:\WINDOWS\system32\drivers\TDSSevri.sys
    C:\WINDOWS\system32\TDSSpqoi.dll
    C:\WINDOWS\system32\TDSSslsv.dll
    C:\WINDOWS\system32\TDSSgado.dll
    C:\WINDOWS\system32\TDSSoopu.dll
    C:\WINDOWS\system32\drivers\TDSSjjsm.sys
    C:\WINDOWS\system32\TDSScewy.dll
    C:\WINDOWS\system32\TDSSsrrp.dll
    C:\WINDOWS\system32\TDSSfpee.dll
    C:\WINDOWS\system32\TDSSrwtk.dll
    0
  18. Marijon
     
    Le rapport combofix :

    ComboFix 08-09-22.06 - Marijon 2008-09-23 22:55:16.2 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.633 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
    Commutateurs utilisés :: C:\Documents and Settings\Marijon\Bureau\CFscript.txt
    * Un nouveau point de restauration a été créé

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\WINDOWS\system32\ggjmagojrhmemae.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\Documents and Settings\Marijon\Cookies\marijon@ad.yieldmanager[2].txt
    C:\WINDOWS\system32\ggjmagojrhmemae.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
    2008-09-23 20:48 . 2008-09-23 22:21 3,134 --a------ C:\WINDOWS\system32\tmp.reg
    2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
    2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
    2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
    2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
    2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
    2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
    2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
    2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
    2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
    2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
    2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
    2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
    2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
    2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
    2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
    2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
    2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
    2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
    2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
    2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
    2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
    2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
    2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
    2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
    2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
    2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
    2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
    2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
    2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
    2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
    2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
    2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
    2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
    2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
    "RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
    "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
    "IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
    "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
    "EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
    "Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
    "ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
    "ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
    "nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
    "SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
    @="driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
    R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
    R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
    HKCU-Run-Antispyware PRO XP - C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    HKLM-Run-gkkunffdys - C:\WINDOWS\system32\ggjmagojrhmemae.dll

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-23 22:56:15
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-09-23 22:56:38
    ComboFix-quarantined-files.txt 2008-09-23 20:56:38
    ComboFix2.txt 2008-09-23 20:16:08

    Avant-CF: 29ÿ377ÿ134ÿ592 octets libres
    Après-CF: 29,408,821,248 octets libres

    127 --- E O F --- 2008-09-16 19:02:13

    Et le rapport Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:57:19, on 23/09/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\WINDOWS\sm56hlpr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
    O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Media Player.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  19. Marijon
     
    Le rapport combofix :

    ComboFix 08-09-22.06 - Marijon 2008-09-23 22:55:16.2 - [color=red][b]FAT32[/b][/color]x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.633 [GMT 2:00]
    Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
    Commutateurs utilisés :: C:\Documents and Settings\Marijon\Bureau\CFscript.txt
    * Un nouveau point de restauration a été créé

    [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

    FILE ::
    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\WINDOWS\system32\ggjmagojrhmemae.dll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    C:\Documents and Settings\Marijon\Cookies\marijon@ad.yieldmanager[2].txt
    C:\WINDOWS\system32\ggjmagojrhmemae.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
    .

    2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
    2008-09-23 20:48 . 2008-09-23 22:21 3,134 --a------ C:\WINDOWS\system32\tmp.reg
    2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
    2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
    2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
    2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
    2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
    2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
    2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
    2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
    2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
    2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
    2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
    2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
    2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
    2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
    2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
    2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
    2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
    2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
    2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
    2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
    2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
    2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
    2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
    2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
    2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
    2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
    2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
    2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
    2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
    2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
    2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
    2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
    2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
    2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
    2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
    2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
    2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
    2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
    "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
    "RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
    "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
    "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
    "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
    "IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
    "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
    "EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
    "Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
    "ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
    "ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
    "nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
    "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
    "SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
    @="driver"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
    R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
    R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
    R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
    S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
    HKCU-Run-Antispyware PRO XP - C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
    HKLM-Run-gkkunffdys - C:\WINDOWS\system32\ggjmagojrhmemae.dll

    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-09-23 22:56:15
    Windows 5.1.2600 Service Pack 2 FAT NTAPI

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-09-23 22:56:38
    ComboFix-quarantined-files.txt 2008-09-23 20:56:38
    ComboFix2.txt 2008-09-23 20:16:08

    Avant-CF: 29ÿ377ÿ134ÿ592 octets libres
    Après-CF: 29,408,821,248 octets libres

    127 --- E O F --- 2008-09-16 19:02:13

    Et le rapport Hijackthis :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:57:19, on 23/09/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    C:\WINDOWS\ATK0100\HControl.exe
    C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
    C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
    C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
    C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
    C:\WINDOWS\sm56hlpr.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\ATK0100\ATKOSD.exe
    C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
    O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
    O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
    O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
    O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
    O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
    O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: Adobe Media Player.lnk = ?
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
    O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
    O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  20. Marijon
     
    "/|\ Attention, maneuvre à ne pas reproduire sur un autre ordi sous peine d'endommager le système "

    ??? :s

    Je fais quoi là ?!! :p
    0
  21. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    la manip est spécialement faite pour toi !

    Elle est adaptée à ton problème. Mais il ne faut pas que quelqu'un d'autre la reproduise. C'est ça le message.

    Par contre, je vérifie que je n'ai rien oublié (dans la liste des choses à faire).

    Tu attends que je te confirme (on n'est pas à la minute).
    0
  • 1
  • 2