Problème antivirus ! Fermé

Question

Bonjour à tous !

J'ai un sérieux problème ! Suite à un problème de clé usb, j'avais exposé un rapport de hackjick je crois (je ne sais plus trop le nom désolé !) où on m'avait expliqué que j'avais deux antivirus sur mon ordinateur et qu'il fallait que j'en garde qu'un seul, pour cela on m'a expliqué comment désinstaller un antivirus sauf que mon dieu ! Les gros problèmes ont commencé :s !

Ca a d'abord commencé (dès la désinstallation et donc le redémarrage de l'ordi) par des arrêts et redémarrage intempestifs de l'ordi (c'est à dire que dès que l'ordinateur redémarrer que j'étais sur ma session, un écran bleu s'affichait avec marqué ERROR ou problem et un long texte qui suivait enfin bon je n'avais pas le temps de lire! et hop 2 secondes après il s'éteignait), bon ce petit boucan finit, j'ai eu tous pleins de messages d'erreur dont celui qui remplace mon fond d'écran : "Warning! Spyware detected on your computer! Install an antivirus or spyware to clean your computer."
Ou alors celui qui s'affiche toutes les 30 secondes : "You have a security problem on your computer"
Ou bien celui à 10 minutes d'intervalle : "You have a security problem! Do you want to scan your computer for viruse?"

Tout pleins de messages comme ceci qui s'affiche et quand je clique sur "oui" je tombe sur un site internet où je dois payer.

J'avais aussi pendant un moment un problème où en faite mes données personnelles n'étaient pas sécurisées (rassurant!)

Donc bon bien sur j'installe des antivirus (de plusieurs sortes), même des logiciels exprès pour protéger mes données personnelles, je fais des analyses qui me disent que j'ai des virus, des problèmes en tout genre, je demande de réparer, ils peuvent pas ou je dois payer (ou alors ils peuvent mais quand je redémarre mon ordi c'est la même chose) et bien sur même avec mes milliers de logiciels que j'ai installé, les mêmes messages d'erreur s'affichent !

J'ai finit pas tout désinstaller parce que j'étais complètement perdu !


Et je le suis toujours ! C'est pourquoi j'implore votre aide s'il vous plait, qu'on puisse me guider, m'aider, me dire dans l'ordre ce qu'il faut faire (je crains devoir formater mon ordinateur :s mais honnètement s'il existait une solution pour réparer tout ca, ca m'arrangerait !).
Voila, en éspèrant vraiment que quelqu'un ai la bonté de m'aider  :)...

Je suis dispo pour répondre ce soir et demain toute la journée (bon je serais pas collé à mon ordi mais j'essairai d'y aller régulièrement !)

Merci déjà d'avoir lu mon message !
A très bientôt.
Marion

Lyonnais92 · Accepted Answer

Bonsoir à tous les 2,

jlpjlp, je me permets d'intervenir, car ça vaut la peine de faire remonter les fichiers.

/|\ Attention, maneuvre à ne pas reproduire sur un autre ordi sous peine d'endommager le système

On fait comme ça (manip assez rare) :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



http://www.commentcamarche.net/forum/affich 8563623 probleme antivirus#11

collect::[12]
C:\WINDOWS\system32\TDSSnbbw.dll
C:\WINDOWS\system32\drivers\TDSShpue.sys
C:\WINDOWS\system32\TDSSoobr.dll
C:\WINDOWS\system32\TDSSdwkj.dll
C:\WINDOWS\system32\TDSSkrrt.dll
C:\WINDOWS\system32\TDSSuhei.dll
C:\WINDOWS\system32\TDSSrngn.dll
C:\WINDOWS\system32\drivers\TDSSevri.sys
C:\WINDOWS\system32\TDSSpqoi.dll
C:\WINDOWS\system32\TDSSslsv.dll
C:\WINDOWS\system32\TDSSgado.dll
C:\WINDOWS\system32\TDSSoopu.dll
C:\WINDOWS\system32\drivers\TDSSjjsm.sys
C:\WINDOWS\system32\TDSScewy.dll
C:\WINDOWS\system32\TDSSsrrp.dll
C:\WINDOWS\system32\TDSSfpee.dll
C:\WINDOWS\system32\TDSSrwtk.dll
C:\WINDOWS\system32\kdohfwlzuyat.exe

folder::
C:\Documents and Settings\All Users\Application Data\Software Licensors 


Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

ComboFix créera ces fichiers sur ton Bureau :
      * Un fichier zippé nommé [b]Submit [Date Time].zip/b
      * Un second fichier nommé - CF-Submit.htm
  ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  Une nouvelle fenêtre avec invite "Submit Files for further analysis" s'ouvrira. Clique "OK"
  Ton navigateur se lancera automatiquement avec le fichier CF-Submit.htm et une fenêtre s'ouvrira :
      * Clique sur le bouton "Browse"("Parcourir") et navigue vers le fichier
        Submit [Date Time].zip qui est sur ton Bureau.
      * Clique sur le fichier afin de le sélectionner.
      * Soumets le fichier en cliquant "OK"
  Lorsque cette opération sera complétée, tu peux supprimer ces deux fichiers qui se trouvent sur ton Bureau.
  Prière de poster le rapport suivant dans ta prochaine réponse :
  - Combofix.txt

jlpjlp · Answer

slt,


colle un rapport hijackthis 
 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo. 

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste 

Ensuite avec Explorer créer un dossier c:\hijackthis 
Décompresser Hijackthis dans ce dossier. 
C'est important pour les sauvegardes."

toptitbal · Answer

Bonjour

Commence par faire un Hijackthis, qu'on voit un peu l'état des lieux ;-)

Télécharge le fichier d’installation d’Hijackthis en cliquant sur ce lien 

http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

Enregistre HJTInstall.exe sur ton bureau. 

Double-clique sur HJTInstall.exe pour lancer le programme

Tuto : https://www.malekal.com/tutoriel-hijackthis/
	http://pageperso.aol.fr/balltrap34/Hijenr.gif

Accepte la license en cliquant sur le bouton "I Accept"
Choisis l'option "Do a system scan and save a log file"
Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note
Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Marijon · Answer

Voici mon rappport : (mon dieu même en comprenant rien j'ai déjà honte de ce que je vais afficher ^^ c'est tellement omniprésent tous ces messages que j'ai même du mal à écrire !)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:33:11, on 23/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\lphcl67j0e7cl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.01net.com/telecharger/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.01net.com/telecharger/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mxlivemedia browser enhancer - {6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [lphcl67j0e7cl] C:\WINDOWS\system32\lphcl67j0e7cl.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VirusRemover2008] C:\Program Files\VirusRemover2008\VRM2008.exe
O4 - HKLM\..\Run: [PCPrivacyCleaner] C:\Program Files\PCPrivacyCleaner\pcpc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gkkunffdys] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\ggjmagojrhmemae.dll" EntryPoint
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Somefox] C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
O4 - HKCU\..\Run: [Antispyware PRO XP] "C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

jlpjlp · Answer

Antispyware PRO XP
PCPrivacyCleaner
antivirus XP

bref tu es gavé


___________


smit fraud fix (colle le rapport)

1/ telecharger :

http://siri.urz.free.fr/Fix/SmitfraudFix.php


2/ double clique sur smitfraudfix. puis sélectionne 1 et appuyer sur entrée afin de créer le rapport des infection présentes.

Marijon · Answer

Oui gavé! Et encore ceux là ce sont ceux qui se sont incrustés sans mon accord sur mon ordi et que je n'ai jamais réussi à faire partir (alors imaginez avant les dizaines de logiciels que j'avais pour ma "sécurité" ^^)

Bon bref le rapport (et je sens que je dois en avoir des infections :s !)

SmitFraudFix v2.353

Rapport fait à 20:47:54,40, 23/09/2008
Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\lphcl67j0e7cl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\marijon\local settings\application data\yiigg.exe
C:\DOCUME~1\Marijon\LOCALS~1\Temp\a.exe
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32undll32.exe
C:\DOCUME~1\Marijon\LOCALS~1\Temp\f.exe
C:\Documents and Settings\Marijon\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32	dssservers.dat détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssinit.dll détecté, utilisez un scanner de Rootkit
C:\WINDOWS\system32	dssl.dll détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon\Application Data

C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIJON\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


-Un premier merci déjà de faire l'effort de m'aider ! C'est gentil :).

jlpjlp · Answer

lance ce logiciel (exterminate-it)

https://downloads.exterminate-it.com/install/ExterminateItSetup.exe


et colle si il y a un rapport

______________

puis

redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée  (et colle le rapport)


____________



télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 


déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 




a plus

Marijon · Answer

Quand je lance exterminate-it et que je démarre le scan, il bloque tout le temps au même fichier (j'ai fini par le noter !) : c:\windows\system32\lphc167j0ecl.exe

Je vais sinon redémarrer l'ordi et continuer ce qu'il y a de noter.

jlpjlp · Answer

ok 

passe a la suite

___________


redémarre en mode sans échec (en appuyant sur F8 ou suppr, ou F5 au démarrage en général) puis lance smitfraudfix , sélectionne l'option 2 et appuyer sur entrée pour commencer la désinfection. lorsque le programme demande si tu veut nettoyer le registre mets oui en tapant 0 et entrée (et colle le rapport)


____________



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

_____________

recolle un rapport smitfraudfix avec l'option 1


a plus

Marijon · Answer

Voici le rapport de SmitFraudFix : (du nouveau je n'ai plus le fond d'écran inquiétant que j'avais au départ !)

SmitFraudFix v2.353

Rapport fait à 21:47:53,70, 23/09/2008
Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Je vais passer au truc de combofix.

lounes11 · Answer

houla !!!!!! les infection sa fait mal au oueils tu télécharge koi toi xD

Marijon · Answer

Le rapport de combofix :

ComboFix 08-09-22.05 - Marijon 2008-09-23 22:12:27.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.646 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Documents and Settings\Marijon\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyCleaner.lnk
C:\Documents and Settings\Marijon\Application Data\rhcg67j0e7cl
C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg.dat
C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg.exe
C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg_nav.dat
C:\Documents and Settings\Marijon\Local Settings\Application Data\yiigg_navps.dat
C:\Program Files\PCPrivacyCleaner
C:\WINDOWS\system32\lphcl67j0e7cl.exe
C:\WINDOWS\system32\phcl67j0e7cl.bmp
C:\WINDOWS\system32\TDSSevri.dll
C:\WINDOWS\system32\TDSShpue.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\TDSSjjsm.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdssservers.dat
D:\Autorun.inf

----- BITS: Il y a peut-être des sites infectés -----

http://au.downloadj+|Cv+@J:NGD_DQ{ztHG.XH?V
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv

((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
.

2008-09-23 22:14 . 3,839 C:\WINDOWS\system32\drivers\GETPADD.sys
2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
2008-09-23 20:48 . 2008-09-23 21:48 4,194 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
2008-09-22 15:11 . 2008-09-22 15:11 167,936 --a------ C:\WINDOWS\system32\ggjmagojrhmemae.dll
2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-09-02 14:51 86,528 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6259cd3c-276b-f1b2-6340-de75439958bb}]
2008-09-22 15:11 167936 --a------ C:\WINDOWS\system32\ggjmagojrhmemae.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]
"Antispyware PRO XP"="C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe" [2008-09-21 974848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
"RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
"ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"gkkunffdys"="C:\WINDOWS\system32\ggjmagojrhmemae.dll" [2008-09-22 167936]
"nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
"C:\\Program Files\\DNA\\btdna.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-yiigg - c:\documents and settings\marijon\local settings\application data\yiigg.exe
HKLM-Run-lphcl67j0e7cl - C:\WINDOWS\system32\lphcl67j0e7cl.exe
HKLM-Run-VirusRemover2008 - C:\Program Files\VirusRemover2008\VRM2008.exe

.
------- Examen supplémentaire -------
.
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.asus.com/
O17 -: HKLM\CCS\Interface\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3

O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab
C:\WINDOWS\Downloaded Program Files\oscan8.inf
C:\WINDOWS\Downloaded Program Files\oscan81.ocx_x
C:\WINDOWS\bdoscandellang.ini
C:\WINDOWS\bdoscandel.exe
C:\WINDOWS\Downloaded Program Files\live.ini
C:\WINDOWS\Downloaded Program Files\scanoptions.tsi
C:\WINDOWS\Downloaded Program Files\lang.ini
C:\WINDOWS\Downloaded Program Files\ipsupd.dll
C:\WINDOWS\Downloaded Program Files\bdupd.dll
C:\WINDOWS\Downloaded Program Files\libfn.dll
C:\WINDOWS\Downloaded Program Files\bdcore.dll
C:\WINDOWS\Downloaded Program Files\oscan8.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 22:14:58
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\PROGRAM FILES\LAVASOFT\AD-AWARE\AAWSERVICE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\WINDOWS\ATK0100\ATKOSD.EXE
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\ComboFix\pv.cfexe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-09-23 22:16:05 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-09-23 20:16:02

Avant-CF: 29ÿ321ÿ789ÿ440 octets libres
Après-CF: 29,458,464,768 octets libres

195 --- E O F --- 2008-09-16 19:02:13

Marijon · Answer

Et enfin le rapport SmitFraudFix avec option 1 :

SmitFraudFix v2.353

Rapport fait à 22:21:22,87, 23/09/2008
Executé à partir de C:\Documents and Settings\Marijon\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marijon\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIJON\FAVORIS


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 192.168.1.3

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer=192.168.1.1,192.168.1.3


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin




Verdict docteur ?  (moi j'ai un petit espoir parce que je n'ai plus tous ces messages inquiétant qui m'envahissaient !)

jlpjlp · Answer

pour fusionner:

http://img.photobucket.com/albums/v666/sUBs/CFScript.gif



puis

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :






File::
C:\WINDOWS\system32\ggjmagojrhmemae.dll
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\WINDOWS\system32\ggjmagojrhmemae.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6259cd3c-276b-f1b2-6340-de75439958bb}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Antispyware PRO XP"=-
"gkkunffdys"=-




Enregistre ce fichier sous le nom CFscript



Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt







_____________






je nous mets ceci de coté pour voir




C:\WINDOWS\system32\kdohfwlzuyat.exe
C:\Documents and Settings\All Users\Application Data\Software Licensors
C:\Program Files\Alwil Software
C:\WINDOWS\system32\TDSSnbbw.dll
C:\WINDOWS\system32\drivers\TDSShpue.sys
C:\WINDOWS\system32\TDSSoobr.dll
C:\WINDOWS\system32\TDSSdwkj.dll
C:\WINDOWS\system32\TDSSkrrt.dll
C:\WINDOWS\system32\TDSSuhei.dll
C:\WINDOWS\system32\TDSSrngn.dll
C:\WINDOWS\system32\drivers\TDSSevri.sys
C:\WINDOWS\system32\TDSSpqoi.dll
C:\WINDOWS\system32\TDSSslsv.dll
C:\WINDOWS\system32\TDSSgado.dll
C:\WINDOWS\system32\TDSSoopu.dll
C:\WINDOWS\system32\drivers\TDSSjjsm.sys
C:\WINDOWS\system32\TDSScewy.dll
C:\WINDOWS\system32\TDSSsrrp.dll
C:\WINDOWS\system32\TDSSfpee.dll
C:\WINDOWS\system32\TDSSrwtk.dll

Marijon · Answer

Le rapport combofix :

ComboFix 08-09-22.06 - Marijon 2008-09-23 22:55:16.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.633 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Marijon\Bureau\CFscript.txt
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\WINDOWS\system32\ggjmagojrhmemae.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\Documents and Settings\Marijon\Cookies\marijon@ad.yieldmanager[2].txt
C:\WINDOWS\system32\ggjmagojrhmemae.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
.

2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
2008-09-23 20:48 . 2008-09-23 22:21 3,134 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
"RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
"ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
"C:\\Program Files\\DNA\\btdna.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
HKCU-Run-Antispyware PRO XP - C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
HKLM-Run-gkkunffdys - C:\WINDOWS\system32\ggjmagojrhmemae.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 22:56:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-23 22:56:38
ComboFix-quarantined-files.txt 2008-09-23 20:56:38
ComboFix2.txt 2008-09-23 20:16:08

Avant-CF: 29ÿ377ÿ134ÿ592 octets libres
Après-CF: 29,408,821,248 octets libres

127 --- E O F --- 2008-09-16 19:02:13

Et le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:19, on 23/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Marijon · Answer

Le rapport combofix :

ComboFix 08-09-22.06 - Marijon 2008-09-23 22:55:16.2 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.633 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Marijon\Bureau\CFscript.txt
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]

FILE ::
C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\WINDOWS\system32\ggjmagojrhmemae.dll
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
C:\Documents and Settings\Marijon\Cookies\marijon@ad.yieldmanager[2].txt
C:\WINDOWS\system32\ggjmagojrhmemae.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 ))))))))))))))))))))))))))))))))))))
.

2008-09-23 21:00 . 2008-09-23 21:00 <REP> d-------- C:\Program Files\Exterminate It!
2008-09-23 20:48 . 2008-09-23 22:21 3,134 --a------ C:\WINDOWS\system32\tmp.reg
2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll
2008-09-23 20:32 . 2008-09-23 20:32 <REP> d-------- C:\Program Files\Trend Micro
2008-09-21 19:39 . 2008-09-21 19:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft
2008-09-21 19:24 . 2008-09-23 20:31 71,814 --a------ C:\WINDOWS\system32\kdohfwlzuyat.exe
2008-09-21 19:23 . 2008-09-21 19:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Software Licensors
2008-09-20 23:53 . 2008-09-20 23:53 <REP> d-------- C:\Program Files\Alwil Software
2008-09-20 22:58 . 2008-09-21 19:20 77,824 --a------ C:\WINDOWS\system32\TDSSnbbw.dll
2008-09-20 22:58 . 2008-09-21 19:20 55,296 --a------ C:\WINDOWS\system32\drivers\TDSShpue.sys
2008-09-20 22:58 . 2008-09-21 19:20 36,352 --a------ C:\WINDOWS\system32\TDSSoobr.dll
2008-09-20 22:58 . 2008-09-21 19:20 12,288 --a------ C:\WINDOWS\system32\TDSSdwkj.dll
2008-09-20 22:58 . 2008-09-21 19:20 11,264 --a------ C:\WINDOWS\system32\TDSSkrrt.dll
2008-09-20 22:58 . 2008-09-21 19:20 10,240 --a------ C:\WINDOWS\system32\TDSSuhei.dll
2008-09-20 22:42 . 2008-09-20 22:42 77,824 --a------ C:\WINDOWS\system32\TDSSrngn.dll
2008-09-20 22:42 . 2008-09-20 22:42 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSevri.sys
2008-09-20 22:42 . 2008-09-20 22:42 37,376 --a------ C:\WINDOWS\system32\TDSSpqoi.dll
2008-09-20 22:42 . 2008-09-20 22:42 29,696 --a------ C:\WINDOWS\system32\TDSSslsv.dll
2008-09-20 22:42 . 2008-09-21 12:12 11,264 --a------ C:\WINDOWS\system32\TDSSgado.dll
2008-09-20 22:42 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSoopu.dll
2008-09-20 22:38 . 2008-09-20 22:38 57,344 --a------ C:\WINDOWS\system32\drivers\TDSSjjsm.sys
2008-09-20 22:38 . 2008-09-20 22:38 37,376 --a------ C:\WINDOWS\system32\TDSScewy.dll
2008-09-20 22:38 . 2008-09-21 12:12 9,728 --a------ C:\WINDOWS\system32\TDSSsrrp.dll
2008-09-20 22:26 . 2008-09-20 22:26 77,824 --a------ C:\WINDOWS\system32\TDSSfpee.dll
2008-09-20 22:26 . 2008-09-20 22:26 29,696 --a------ C:\WINDOWS\system32\TDSSrwtk.dll
2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-09-17 15:26 . 2008-09-17 15:26 <REP> d-------- C:\WINDOWS\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft
2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR
2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936]
"RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]
"Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
"IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718]
"IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182]
"EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413]
"Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016]
"ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224]
"ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440]
"nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\MSNMSGR.EXE"=
"C:\\Program Files\\DNA\\btdna.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336]
R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470]
R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{6259cd3c-276b-f1b2-6340-de75439958bb} - C:\WINDOWS\system32\ggjmagojrhmemae.dll
HKCU-Run-Antispyware PRO XP - C:\Documents and Settings\All Users\Application Data\Software Licensors\Antispyware PRO XP\asproxp.exe
HKLM-Run-gkkunffdys - C:\WINDOWS\system32\ggjmagojrhmemae.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-23 22:56:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-23 22:56:38
ComboFix-quarantined-files.txt 2008-09-23 20:56:38
ComboFix2.txt 2008-09-23 20:16:08

Avant-CF: 29ÿ377ÿ134ÿ592 octets libres
Après-CF: 29,408,821,248 octets libres

127 --- E O F --- 2008-09-16 19:02:13

Et le rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:57:19, on 23/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = ?
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

Marijon · Answer

"/|\ Attention, maneuvre à ne pas reproduire sur un autre ordi sous peine d'endommager le système "


??? :s


Je fais quoi là ?!! :p

Lyonnais92 · Answer

Re,

la manip est spécialement faite pour toi !

Elle est adaptée à ton problème. Mais il ne faut pas que quelqu'un d'autre la reproduise. C'est ça le message.

Par contre, je vérifie que je n'ai rien oublié (dans la liste des choses à faire).

Tu attends que je te confirme (on n'est pas à la minute).

Lyonnais92 · Answer

Re,

tout est OK comme ça.

Tu peux exécuter la manip comme elle est.

Marijon · Answer

Ah ! Ca pas dû marcher car j'ai ceci qui s'affiche :

"Combofix a besoin de soumettre les malwares à des analyses plus poussées."


Dans mon fichier CFscript j'ai mis :

collect::[12] 
C:\WINDOWS\system32\TDSSnbbw.dll 
C:\WINDOWS\system32\drivers\TDSShpue.sys 
C:\WINDOWS\system32\TDSSoobr.dll 
C:\WINDOWS\system32\TDSSdwkj.dll 
C:\WINDOWS\system32\TDSSkrrt.dll 
C:\WINDOWS\system32\TDSSuhei.dll 
C:\WINDOWS\system32\TDSSrngn.dll 
C:\WINDOWS\system32\drivers\TDSSevri.sys 
C:\WINDOWS\system32\TDSSpqoi.dll 
C:\WINDOWS\system32\TDSSslsv.dll 
C:\WINDOWS\system32\TDSSgado.dll 
C:\WINDOWS\system32\TDSSoopu.dll 
C:\WINDOWS\system32\drivers\TDSSjjsm.sys 
C:\WINDOWS\system32\TDSScewy.dll 
C:\WINDOWS\system32\TDSSsrrp.dll 
C:\WINDOWS\system32\TDSSfpee.dll 
C:\WINDOWS\system32\TDSSrwtk.dll 
C:\WINDOWS\system32\kdohfwlzuyat.exe 

folder:: 
C:\Documents and Settings\All Users\Application Data\Software Licensors 


Mais je n'ai pas utilisé le lien mis précédemment :
http://www.commentcamarche.net/forum/affich 8563623 probleme antivirus#11 

(Je n'ai pas compris ce que je devais faire avec !) Est-ce la raison ?

Lyonnais92 · Answer

Re,

je ne crois pas que l'absence du lien soit la cause.

essaye ça :

Démarrer > Exécuter >


puis tu copies  C:\Qoobox\CF-Submit-Previous.htm  

une fenêtre devrait s'ouvrir avec une boîte de saisie de texte  (suivie de browse et send) et, en dessous, un nom de fichier du type C:\Qoobox\

Copie le nom complet du fichier dans la boîte de saisie puis clique sur Send.


Poste ensuite  C:\combofix.txt
_

@+
Faites ce que l'on vous demande, ni plus, ni moins.
Ne créez pas de doublons, ni sur CCM ni sur un autre site. Merci

Marijon · Answer

Bon je suis un peu perdu là ! Alors avec QooBox j'ai une page qui apparait (http://www.bleepingcomputer.com/pf.php) et ce message : "Your file was successfully submitted. Please let the user helping you know that you have submitted the file." Sinon mon rapport de Combofix : ComboFix 08-09-22.06 - Marijon 2008-09-24 0:14:59.4 - [color=red][b]FAT32[/b][/color]x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.621 [GMT 2:00] Lancé depuis: C:\Documents and Settings\Marijon\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Marijon\Bureau\Cfscript.txt * Un nouveau point de restauration a été créé [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-23 au 2008-09-23 )))))))))))))))))))))))))))))))))))) . 2008-09-23 21:00 . 2008-09-23 21:00 d-------- C:\Program Files\Exterminate It! 2008-09-23 20:48 . 2008-09-23 22:21 3,134 --a------ C:\WINDOWS\system32 mp.reg 2008-09-23 20:35 . 2008-09-23 20:35 118,276 --a------ C:\WINDOWS\system32\msxml71.dll 2008-09-23 20:32 . 2008-09-23 20:32 d-------- C:\Program Files\Trend Micro 2008-09-21 19:39 . 2008-09-21 19:39 d-------- C:\Documents and Settings\All Users\Application Data\Grisoft 2008-09-20 23:53 . 2008-09-20 23:53 d-------- C:\Program Files\Alwil Software 2008-09-17 15:36 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-09-17 15:26 . 2008-09-17 15:26 d-------- C:\WINDOWS\BDOSCAN8 . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-14 08:43 --------- d-----w C:\Program Files\Lavasoft 2008-08-14 08:43 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-14 08:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-08-04 12:18 --------- d-----w C:\Program Files\Fichiers communs\Adobe AIR 2008-07-24 11:32 53,248 ----a-w C:\WINDOWS\system32\unrar.dll 2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll 2008-07-07 20:31 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll 2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll 2008-06-24 16:23 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll 2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll 2008-06-24 08:28 3,592,192 ------w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-06-23 09:21 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe 2008-06-23 09:21 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe 2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2006-02-22 106496] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-11-21 7335936] "RemoteControl"="C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648] "SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945] "Wireless Console 2"="C:\Program Files\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "IntelZeroConfig"="C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718] "IntelWireless"="C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182] "EOUApp"="C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413] "Power_Gear"="C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-06 86016] "ASUS Live Update"="C:\Program Files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "ABLKSR"="C:\WINDOWS\ABLKSR\ABLKSR.exe" [2006-01-02 61440] "nwiz"="nwiz.exe" [2005-11-21 C:\WINDOWS\system32 wiz.exe] "RTHDCPL"="RTHDCPL.EXE" [2005-09-06 C:\WINDOWS\RTHDCPL.EXE] "SMSERIAL"="sm56hlpr.exe" [2005-05-26 C:\WINDOWS\sm56hlpr.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\TDSShpue.sys] @="driver" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Windows Live\Messenger\MSNMSGR.EXE"= "C:\Program Files\DNA\btdna.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] R2 NwSapAgent;Agent SAP;C:\WINDOWS\system32\svchost.exe [2004-08-05 14336] R3 SynMini;USB2.0 1.3M Web Cam;C:\WINDOWS\system32\Drivers\SynMini.sys [2005-10-03 720470] R3 SynScan;USB2.0 1.3M Web Cam Still Image;C:\WINDOWS\system32\Drivers\SynScan.sys [2005-10-03 8278] S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-24 00:15:43 Windows 5.1.2600 Service Pack 2 FAT NTAPI Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-09-24 0:16:05 ComboFix-quarantined-files.txt 2008-09-23 22:16:04 ComboFix4.txt 2008-09-23 20:16:08 ComboFix3.txt 2008-09-23 20:56:40 ComboFix2.txt 2008-09-23 21:47:02 Avant-CF: 29ÿ276ÿ700ÿ672 octets libres Après-CF: 29,329,063,936 octets libres 99 --- E O F --- 2008-09-16 19:02:13

Lyonnais92 · Answer

Re,

je viens de parler avec un des destinataires, il a reçu.

Donc c'est parfait.

Merci beaucoup, cette infection est en pleine évolution, il y a de bonnes chances pour que les minutes que tu as consacré à cet envoi fasse gagner beaucoup de temps à d'autres internautes.

Ton rapport Combofix montre que les fichiers ont disparu (c'était attendu).

jlpjlp, merci de m'avoir laissé intervenir.

Bonne fin à vous deux;

Marijon · Answer

Waouh c'est gagnant gagnant alors  :). Parce que moi je suis contente de retrouvée mon ordinateur propre !
J'ai choisi avast! pour la protection et je crois que ca protège bien.

Merci à vous deux vraiment ! De votre patience et de vos précisions ! Votre aide m'a était grandement précieuse !
Encore merci :).
Au revoir
Marijon

musbel56 · Answer

en effet j ai suivi chapeau les mec

Lyonnais92 · Answer

Bonjour marijon,

attends ce que dira jlpjlp.

Il devrait vérifier qu'il ne reste plus rien, te faire nettoyer les outils, ....

L'essentiel a été fait. Probablement encore quelques détails.

Marijon · Answer

D'accord dans ce cas j'attendrai qu'il réponde, l'essentiel de fait je suis quand même rassurée !
A bientot alors.

jlpjlp · Answer

slt et merci Lyonnais92 pour ton intervention comme toujours efficace
il est vrai que cette infection est actuellement suivie par tous car en plein extension et coriace ....
cela tombe bien que tu fasse la procédure pour soumettre a des personnes  competente car je ne sais jamais a qui envoyer les fichiers comme cela pour faire evoluer (si tu as des infos pour cela...)






Marijon

vire le fichier  EXterminate It! en allant dans poste de travail puis 

C:\Program Files\Exterminate It! 


puis 
recolle nous un rapport hijackhtis pour voir et dis nous tes soucis actuels

Marijon · Answer

Mon rapport Hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:20, on 24/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe
C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\WINDOWS\sm56hlpr.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Marijon\LOCALS~1\Temp\~nsu.tmp\Au_.exe
C:\Program Files\Exterminate It!\ExterminateIt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.asus.com/fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O14 - IERESET.INF: START_PAGE_URL=https://www.asus.com/fr/
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{3C8EBAD7-A5F8-4FFD-93EA-C0491A5806BF}: NameServer = 192.168.1.1,192.168.1.3
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

jlpjlp · Answer

analyse ce fichier sur virus total:  https://www.virustotal.com/gui/

C:\DOCUME~1\Marijon\LOCALS~1\Temp\~nsu.tmp\Au_.exe 


et colle le rapport

______________

lance ccleaner pour nettoyer tes traces de surf et fichiers temporaires (dans les option décoche la case "effacer les fichiers de plus de 48 heures)

https://www.malekal.com/tutoriel-ccleaner/


___________________

a plus

Marijon · Answer

Je ne sais pas trop si c'est ca le rapport ...:

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.9.19.2 2008.09.22 - 
AntiVir 7.8.1.34 2008.09.22 - 
Authentium 5.1.0.4 2008.09.22 - 
Avast 4.8.1195.0 2008.09.22 - 
AVG 8.0.0.161 2008.09.22 - 
BitDefender 7.2 2008.09.22 - 
CAT-QuickHeal 9.50 2008.09.20 - 
ClamAV 0.93.1 2008.09.22 - 
DrWeb 4.44.0.09170 2008.09.22 - 
eSafe 7.0.17.0 2008.09.22 - 
eTrust-Vet 31.6.6099 2008.09.22 - 
Ewido 4.0 2008.09.22 - 
F-Prot 4.4.4.56 2008.09.21 - 
F-Secure 8.0.14332.0 2008.09.22 - 
Fortinet 3.113.0.0 2008.09.22 - 
GData 19 2008.09.22 - 
Ikarus T3.1.1.34.0 2008.09.22 Win32.SuspectCrc 
K7AntiVirus 7.10.467 2008.09.22 - 
Kaspersky 7.0.0.125 2008.09.22 - 
McAfee 5388 2008.09.19 - 
Microsoft 1.3903 2008.09.22 - 
NOD32v2 3459 2008.09.22 - 
Norman 5.80.02 2008.09.19 - 
Panda 9.0.0.4 2008.09.22 - 
PCTools 4.4.2.0 2008.09.22 - 
Prevx1 V2 2008.09.22 - 
Rising 20.63.02.00 2008.09.22 - 
Sophos 4.33.0 2008.09.22 - 
Sunbelt 3.1.1653.1 2008.09.20 - 
Symantec 10 2008.09.22 - 
TheHacker 6.3.0.9.090 2008.09.20 - 
TrendMicro 8.700.0.1004 2008.09.22 - 
VBA32 3.12.8.5 2008.09.22 - 
ViRobot 2008.9.22.1387 2008.09.22 - 
VirusBuster 4.5.11.0 2008.09.22 - 
Webwasher-Gateway 6.6.2 2008.09.22 - 
Information additionnelle 
File size: 51626 bytes 
MD5...: 409fdae4360ec208d8d5c11fe0e45cb6 
SHA1..: 9c8c4ea2df29e81e41778efae502e8051e1afa14 
SHA256: f70260fe848e9f92447a0911d2d3e1eb27dbb479bcdbb8e6a42c77d3833a587c 
SHA512: b78b2e11ff1710213af81c2a580188e95edd2aeabe94013d5432457956cf887c
e67d5dd110d054c6a35742f79986b036b980a2cccabb8302ea5dbcb9c3170a10 
PEiD..: - 
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4030ed
timedatestamp.....: 0x47348762 (Fri Nov 09 16:14:26 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5b22 0x5c00 6.47 fb692891d6592365eb18f6b3bbfa5d2e
.rdata 0x7000 0x129c 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207
.data 0x9000 0x25cb8 0x400 5.12 c5c4701871042863b95b9217c002c503
.ndata 0x2f000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x38000 0x2048 0x2200 3.77 68def88c04b3a075798830e5f6f32ebd

( 8 imports ) 
> KERNEL32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> USER32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> GDI32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> SHELL32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> ADVAPI32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )

jlpjlp · Answer

si ce n'est pas fais , fais le message 29 de notre ami  sKe69,

mets a jour adobe:
https://get2.adobe.com/reader/otherversions/



lance tools cleaner pour virer ce que l'on a utilisé
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner














pour protéger gratos ton ordi

securite

mettre un antivirus

AVAST en français ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions:

MALWAREBYTE + SPYBOT 

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation : il suffit de faire "update" pour mettre à jour tous les mois et ensuite" enable all protection" pour immuniser)...


--------
un pare feu :
celui de Windows ou mieux COMODO ou ONELINE ARMOR ou  KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit)

https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
zonealarm

-----------

CCLEANER pour effacer les traces de surf

-------------

naviguer avec firefox ou opera ou safari et non internet explorer plus touché par les infections


bonne suite

Lyonnais92 · Answer

Bonsoir marijon et jlpjlp,

marijon, si tu n'as pas fait passer toolscleaner et si tu es prête à donner un peu de temps "à la science", fais signe.

Je te ferai faire une manip qui permettra de voir si la nouvelle version de CF supprime ces fichiers TDSSxxxx.

Si tu as fait passer, ou si tu n'as pas envie, pas de soucis, je trouverai une autre occasion.

La première des choses à faire serait d'éditer ce fichier C:\Qoobox\ComboFix-quarantined-files.txt et de poster le contenu dans ta réponse.

Pour ça, tu ouvre le Bloc-notes, tu cliques sur fichier,Ouvrir et tu cherches le fichier.

jlpjlp · Answer

slt lyonnais92 si j'avais su...


marijon,  si tu peux fais ce que te dis lyonnais92 ce qui permettra de faire évoluer les logiciels pour l'infections que tu avais

Lyonnais92 · Answer

Bonjour tous les deux,

pas de soucis, ni pour l'un ni pour l'autre.

En plus, la conversation s'est faite en anglais et je n'avais pas bien compris.

Si le fichier existe encore, il va suffire de l'envoyer à sUBS qui ne l'a pas reçu (par ma faute).

La manip est très simple.

Je la détaillerai.

Encore une fois, si le fichier n'existe plus, ce n'est pas très grave. On les retrouvera ailleurs ces fichiers(hélas).

jlpjlp · Answer

ok je te tiendrai au courant pour transmettre a  sUBS 
si j'ai encore ce cas

Marijon · Answer

Mince ... :s  j'ai effectivement passé ?cleaner et je n'ai donc plus qookbox(?), vraiment désolé ... Ca m'aurait bien sur pas déranger de vous aider (moi qui ai connu cette horreur d'infections partout, si mon aide aurait pu éviter le malheur a d'autre !!!)
Vraiment désolé  :s...
Mais merci pour votre aide c'était vraiment gentil !
Merci aussi pour m'avoir filer des logiciels de protection GRATUIT (:D)

A bientot
Marion.

Problème antivirus !

37 réponses

Discussions similaires