Sujet Précédent Sujet Suivant

Besoin d'ade sur une analyse Hijacthis

Résolu/Fermé
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 - 30 sept. 2008 à 21:06
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 6 oct. 2008 à 23:41
Bonjour,

Voila j'ai un gros probleme sur mon PC, impossible de le mettre à jour, de faire faire en sorte qu'elles soient automatique:

Voici le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30:34, on 30/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Documents and Settings\Propriétaire\Bureau\securité\logiciels securité\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0DB367AD-E002-4458-A114-59825CB61FC0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6F86972D-D0BB-4069-A461-7028B0CCF43D} - C:\WINDOWS\system32\urqNHATj.dll (file missing)
O2 - BHO: (no name) - {7186704C-C78F-425D-80DC-17A8E83F246F} - C:\WINDOWS\system32\tuvSmkJb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {84453962-AD12-455A-A78D-E6567C11603A} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {1962c5bc-e475-465b-823b-133e711bceb9} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BM2f7250e6] Rundll32.exe "C:\WINDOWS\system32\erqmjkvu.dll",s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA697] command /c del "C:\WINDOWS\system32\erqmjkvu.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8893] cmd /c del "C:\WINDOWS\system32\erqmjkvu.dll_old"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BackupNotify] c:\Program Files\HP\Digital Imaging\bin\backupnotify.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\PCHButton.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB168] command /c del "C:\WINDOWS\system32\erqmjkvu.dll_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD9414] cmd /c del "C:\WINDOWS\system32\erqmjkvu.dll_old"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O4 - Startup: Raccourci vers ashAvast.lnk = C:\Program Files\Alwil Software\Avast4\ashAvast.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB2D7097-5366-4C82-AB3C-7071C0E85B26}: NameServer = 194.117.200.10,194.117.200.15
O20 - AppInit_DLLs: qyhngw.dll
O20 - Winlogon Notify: tuvSmkJb - C:\WINDOWS\SYSTEM32\tuvSmkJb.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
A voir également:

13 réponses

Réponse 1 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 oct. 2008 à 03:31
Bonjour,


Télécharge et installe Malwarebytes' Anti-Malware
- A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
- Lance MBAM, laisse les Mises à jour se télécharger et referme le programme

Redémarre en "Mode sans échec" : redémarre ton ordinateur et tapote sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows, et sélectionne "Mode sans échec". Choisis ta session habituelle

Lance MBAM
- Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
- Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
- A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
- Suppression des éléments détectés --> clique sur Supprimer la sélection
- S'il t'es demandé de redémarrer, clique sur Yes


Poste le rapport de scan après la suppression ici

-1
Réponse 2 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
1 oct. 2008 à 14:43
salut,

j'ai installé le logiciel, fait l'analyse, voici le rapport:

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1225
Windows 5.1.2600 Service Pack 3

01/10/2008 14:31:08
mbam-log-2008-10-01 (14-30-59).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 199584
Temps écoulé: 3 hour(s), 20 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 12
Fichier(s) infecté(s): 73

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\geBUOICr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\hzdhlq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qyhngw.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8b2918de-4891-4e3f-9893-d68015281c3e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8b2918de-4891-4e3f-9893-d68015281c3e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{442e7e67-3f86-48b0-b99f-675204860fec} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f23c1ec1-0cce-4294-99f4-d523ba3b2ffc} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm2f7250e6 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebuoicr -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebuoicr -> No action taken.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\Starware370 (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\contexts (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370 (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_6 (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_7 (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_8 (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Paroles (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Radio_FR (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Recherche_de_musique (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Telechargement (Adware.Starware) -> No action taken.

Fichier(s) infecté(s):
C:\WINDOWS\system32\geBUOICr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rCIOUBeg.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rCIOUBeg.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\jcsbefqe.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\eqfebscj.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\xcbtforo.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\oroftbcx.ini (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Propriétaire\Bureau\quentin\music\Fichiers Internet temporaires\Content.IE5\P05G9MIX\cntr[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Propriétaire\Bureau\quentin\music\Fichiers Internet temporaires\Content.IE5\P05G9MIX\nd82m0[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Propriétaire\Bureau\quentin\music\Fichiers Internet temporaires\Content.IE5\P05G9MIX\upd105320[2] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP278\A0065086.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP284\A0070865.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0080996.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0080998.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081030.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081031.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081080.exe (Adware.Agent) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081083.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081120.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081123.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081124.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{A6B224D0-A415-4BA9-8115-B5AA59C9F2C7}\RP285\A0081125.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\baptdbqn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bslthycv.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hzdhlq.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qyhngw.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\563_button_1b_def.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\563_button_1b_over.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\572_button_1b_def.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\572_button_1b_over.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\573_button_1b_def.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\573_button_1b_over.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_60.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_70.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\Button_80.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\FindIt.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\FindItHot.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\findithotxp.png (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\finditxp.png (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\logo.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\buttons\logoxp.bmp (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\error.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\Related.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\contexts\Travel.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\ProductMessagingConfig.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\SimpleUpdateConfig.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\All Users\Application Data\Starware370\SimpleUpdate\TimerManagerConfig.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_6\Button_6Options.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_6\Button_6Options.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_7\Button_7Options.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_7\Button_7Options.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_8\Button_8Options.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Button_8\Button_8Options.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Paroles\ParolesOptions.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Paroles\ParolesOptions.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Radio_FR\Radio_FROptions.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Radio_FR\Radio_FROptions.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Recherche_de_musique\Recherche_de_musiqueOptions.xml.backup (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Telechargement\TelechargementOptions.xml (Adware.Starware) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\Starware370\Telechargement\TelechargementOptions.xml.backup (Adware.Starware) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\nyribaak.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\pac.txt (Malware.Trace) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM2f7250e6.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BM2f7250e6.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\Downloaded Program Files\EGDAccess.inf (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\Downloaded Program Files\EGDAccess_ASPIV4.inf (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\Downloaded Program Files\syswbsvc32.inf (Adware.EGDAccess) -> No action taken.


j'avait aussi un probleme au niveau de la base de ezgistre, comme j'ai le résident de Spy bot qui ait installé, il m'indiquait les fichier qui "voulait " etre modifier. Apres avoir faire la manipulation, jen'ai plus de demande sauf une.

A+
-1
^^Marie^^ Messages postés 113901 Date d'inscription mardi 6 septembre 2005 Statut Membre Dernière intervention 28 août 2020 3 275
5 oct. 2008 à 20:34
Salut

No action taken. >>> Il n'a rien fait du tout, rien supprime

++
-1
Réponse 3 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
2 oct. 2008 à 02:13
Très bien

On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

Dans ton cas, il s'agit d'Avast, de Sygate et du TeaTimer de Spybot (Lance Spybot --> clique sur Mode => coche Mode avancé => Outils => Résident => décoche la case Résident Tea Timer et ferme Spybot)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

-1
Réponse 4 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
2 oct. 2008 à 11:18
Salut,

J'ai lancé le logiciel ComboFix, Voici le rapport d'analyse:

ComboFix 08-10-01.02 - Propri‚taire 2008-10-02 11:08:29.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.621 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Propri‚taire\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\pack.epk
C:\WINDOWS\system32\bjakhdwu.dll
C:\WINDOWS\system32\MSINET.oca
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-02 au 2008-10-02 ))))))))))))))))))))))))))))))))))))
.

2008-10-01 10:44 . 2008-10-01 10:44 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-10-01 10:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-01 10:38 . <REP> C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-10-01 10:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-01 10:38 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 18:26 . 2008-09-30 18:26 95 --a------ C:\WINDOWS\wininit.ini
2008-09-30 17:33 . 2004-01-01 23:55 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\WINDOWS
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\Voisinage r‚seau
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\Voisinage d'impression
2008-09-30 17:33 . 2007-07-16 00:43 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\ModŠles
2008-09-30 17:33 . 2008-10-01 14:31 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Mes documents
2008-09-30 17:33 . 2007-07-16 00:41 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Menu D‚marrer
2008-09-30 17:33 . 2007-07-16 00:41 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Favoris
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Bureau
2008-09-30 17:33 . 2004-01-04 07:44 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Symantec
2008-09-30 17:33 . 2004-01-02 00:40 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\SampleView
2008-09-30 17:33 . 2004-01-01 23:45 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Intervideo
2008-09-30 17:33 . 2008-09-30 17:33 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\ModŠles
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-30 16:55 . 2004-01-01 23:45 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d---s---- C:\Documents and Settings\Administrateur
2008-09-22 21:31 . 2008-09-22 21:31 <REP> d-------- C:\Documents and Settings\NetworkService\Bureau
2008-09-20 14:24 . 2008-09-30 18:33 555,080 --ahs---- C:\WINDOWS\system32\jTAHNqru.ini2
2008-09-20 14:24 . 2008-09-30 18:33 555,080 --ahs---- C:\WINDOWS\system32\jTAHNqru.ini
2008-09-20 11:19 . 2008-09-30 21:19 <REP> d-------- C:\WINDOWS\system32\mC02
2008-09-20 11:19 . 2008-09-20 11:19 <REP> d-------- C:\TEMP\mtc2
2008-09-10 13:30 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-10 13:29 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-10 12:23 . 2008-09-10 12:23 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-10 12:23 . 2008-09-10 12:23 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-09 09:09 . 2008-04-14 04:33 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-09-09 09:08 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-09-06 10:35 . 2008-09-07 18:10 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-06 10:35 . 2008-09-06 10:35 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 09:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-01 14:09 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-09-30 16:27 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-21 16:08 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\LimeWire
2008-09-13 16:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-09-11 15:25 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-07 13:20 --------- d-----w C:\Program Files\eMule
2008-09-01 09:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-09-01 08:50 --------- d-----w C:\Program Files\LimeWire
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-15 11:59 78,344 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2007-07-07 13:33 47,262 ----a-w C:\Documents and Settings\Propriétaire\Application Data\wklnhst.dat
2007-07-01 16:28 91,702 ----a-w C:\Documents and Settings\Propriétaire\ycfnwy.exe
2006-11-16 13:31 110 -c--a-w C:\Documents and Settings\Propriétaire\icone.reg
2006-11-16 13:21 20 -c-ha-w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
2005-01-17 04:38 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Acme.PCHButton"="C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\PCHButton.exe" [2004-01-02 159744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 81920]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 286720]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 C:\WINDOWS\ALCXMNTR.EXE]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

C:\Documents and Settings\Administrateur.FAMILLE\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=qyhngw.dll hzdhlq.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 04:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
--a------ 2003-02-11 20:02 61440 C:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-10-19 21:16 286720 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LVSrvLauncher"=3 (0x3)
"LVCOMSer"=2 (0x2)
"Fax"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-08-03 2368]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 lgusbsmodem;LGE Mobile USB Modem;C:\WINDOWS\system32\DRIVERS\lgusbsmodem.sys [2007-06-11 42420]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd45b02-5e0a-11dd-81dc-00112f2de155}]
\Shell\AutoRun\command - K:\browsercall.exe PhotoServiceEditionSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a79531e-2cad-11dd-8196-00112f2de155}]
\Shell\AutoRun\command - start.exe
\Shell\iledefrance\command - start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca060091-c5a6-11dc-80d8-00112f2de155}]
\Shell\Auto\command - Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0DB367AD-E002-4458-A114-59825CB61FC0} - (no file)
BHO-{2B3EFD36-3E51-4630-A853-2D1B10C242DC} - (no file)
BHO-{6F86972D-D0BB-4069-A461-7028B0CCF43D} - (no file)
BHO-{7186704C-C78F-425D-80DC-17A8E83F246F} - (no file)
BHO-{84453962-AD12-455A-A78D-E6567C11603A} - (no file)
ShellExecuteHooks-{7186704C-C78F-425D-80DC-17A8E83F246F} - (no file)
Notify-tuvSmkJb - tuvSmkJb.dll
MSConfigStartUp-Adobe Photo Downloader - C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe
MSConfigStartUp-BM2f7250e6 - C:\WINDOWS\system32\erqmjkvu.dll


.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Default_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
R0 -: HKLM-Main,Search Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_FR&c=Q304&bd=pavilion&pf=desktop
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-Internet Settings,ProxyOverride = 127.0.0.1
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{DB2D7097-5366-4C82-AB3C-7071C0E85B26}: NameServer = 194.117.200.10,194.117.200.15

O16 -: Microsoft XML Parser for Java - C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-02 11:12:37
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\RGI23.tmp

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
Heure de fin: 2008-10-02 11:15:03
ComboFix-quarantined-files.txt 2008-10-02 09:14:29

Avant-CF: 70ÿ142ÿ185ÿ472 octets libres
Après-CF: 70,168,027,136 octets libres

193 --- E O F --- 2008-09-11 15:24:19


Merci

A+
-1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 oct. 2008 à 17:28
Pour finir :


1) Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
C:\WINDOWS\system32\jTAHNqru.ini2
C:\WINDOWS\system32\jTAHNqru.ini
C:\Documents and Settings\Propriétaire\ycfnwy.exe

Folder::
C:\TEMP\mtc2

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-

------------------------------------------------------------------

- Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
- Quitte le Bloc Notes

· Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt




2) Désinfecte tes supports amovibles :

Télécharge l'outil Flash_Disinfector (de sUBs) :
ici http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
ou ici download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra, branche tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3...) sans les ouvrir
Puis clique sur OK
Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur OK, pour faire réapparaître le bureau.




3) Redémarre l'ordinateur puis poste un nouveau rapport hijackthis stp

-1
Réponse 6 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
4 oct. 2008 à 19:51
Salut,

J'ai copié le texte que tu as demandé, par contre qu'en j'ai glissé le fichier .txt sur C-Fix.exe, je n'est pas eu à taper 1.
L'écran bleu est apparu de suite.

Voici le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:22, on 04/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ps2.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\Propriétaire\Bureau\securité\logiciels securité\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/...
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\program files\hp\digital imaging\bin\hpdtlk02.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Acme.PCHButton] C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\PCHButton.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: AutoTBar.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB2D7097-5366-4C82-AB3C-7071C0E85B26}: NameServer = 194.117.200.10,194.117.200.15
O20 - Winlogon Notify: tuvSmkJb - tuvSmkJb.dll (file missing)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
-1
Réponse 7 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 oct. 2008 à 19:16
Peux-tu poster le rapport de Combofix aussi stp ?

Tu le retrouveras en allant dans le menu démarrer --> poste de travail --> disque C

-1
Réponse 8 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
5 oct. 2008 à 20:18
Salut,

Voici le rapport comboFix:

ComboFix 08-10-04.01 - Propriétaire 2008-10-04 19:30:26.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.612 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Propriétaire\Bureau\C-Fix.exe
Commutateurs utilisés :: C:\Documents and Settings\Propriétaire\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
C:\Documents and Settings\Propriétaire\ycfnwy.exe
C:\WINDOWS\system32\jTAHNqru.ini
C:\WINDOWS\system32\jTAHNqru.ini2
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Propriétaire\new.txt
C:\Documents and Settings\Propriétaire\ycfnwy.exe
C:\TEMP\mtc2
C:\WINDOWS\system32\bjakhdwu.dll
C:\WINDOWS\system32\jTAHNqru.ini
C:\WINDOWS\system32\jTAHNqru.ini2
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-04 au 2008-10-04 ))))))))))))))))))))))))))))))))))))
.

2008-10-01 10:44 . 2008-10-01 10:44 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-10-01 10:38 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-01 10:38 . 2008-10-01 10:38 <REP> d-------- C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-10-01 10:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-10-01 10:38 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-01 10:38 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-30 18:26 . 2008-09-30 18:26 95 --a------ C:\WINDOWS\wininit.ini
2008-09-30 17:33 . 2004-01-01 23:55 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\WINDOWS
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\Voisinage réseau
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\Voisinage d'impression
2008-09-30 17:33 . 2007-07-16 00:43 <REP> d--h----- C:\Documents and Settings\Administrateur.FAMILLE\Modèles
2008-09-30 17:33 . 2008-10-01 14:31 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Mes documents
2008-09-30 17:33 . 2007-07-16 00:41 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Menu Démarrer
2008-09-30 17:33 . 2007-07-16 00:41 <REP> dr------- C:\Documents and Settings\Administrateur.FAMILLE\Favoris
2008-09-30 17:33 . 2004-01-01 20:57 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Bureau
2008-09-30 17:33 . 2004-01-04 07:44 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Symantec
2008-09-30 17:33 . 2004-01-02 00:40 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\SampleView
2008-09-30 17:33 . 2004-01-01 23:45 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE\Application Data\Intervideo
2008-09-30 17:33 . 2008-10-03 14:22 <REP> d-------- C:\Documents and Settings\Administrateur.FAMILLE
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\Modèles
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-09-30 16:55 . 2004-01-01 23:45 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2008-09-30 16:55 . 2008-09-30 17:00 <REP> d---s---- C:\Documents and Settings\Administrateur
2008-09-22 21:31 . 2008-09-22 21:31 <REP> d-------- C:\Documents and Settings\NetworkService\Bureau
2008-09-20 11:19 . 2008-09-30 21:19 <REP> d-------- C:\WINDOWS\system32\mC02
2008-09-10 13:30 . 2008-06-14 19:33 272,768 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-10 13:29 . 2008-04-11 21:05 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-10 12:23 . 2008-09-10 12:23 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-10 12:23 . 2008-09-10 12:23 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-09 09:09 . 2008-04-14 04:33 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-09-09 09:08 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-09-06 10:35 . 2008-10-02 20:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-06 10:35 . 2008-10-02 20:09 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-04 17:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-10-03 12:21 --------- d-----w C:\Program Files\LimeWire
2008-10-03 11:38 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\LimeWire
2008-10-03 09:50 --------- d-----w C:\Program Files\Windows Live
2008-10-03 09:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-10-02 10:13 --------- d-----w C:\Documents and Settings\All Users\Application Data\TrackMania
2008-10-01 14:09 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-09-30 16:27 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-09-11 15:25 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-09-07 13:20 --------- d-----w C:\Program Files\eMule
2008-09-01 09:25 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-18 18:39 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-15 11:59 78,344 ----a-w C:\Documents and Settings\Propriétaire\Application Data\GDIPFONTCACHEV1.DAT
2007-07-07 13:33 47,262 ----a-w C:\Documents and Settings\Propriétaire\Application Data\wklnhst.dat
2006-11-16 13:31 110 -c--a-w C:\Documents and Settings\Propriétaire\icone.reg
2006-11-16 13:31 110 -c--a-w C:\Documents and Settings\Propriétaire\icone.reg
2006-11-16 13:21 20 -c-ha-w C:\Documents and Settings\All Users\Application Data\PKP_DLec.DAT
2005-01-17 04:38 0 -csha-w C:\WINDOWS\SMINST\HPCD.sys
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Acme.PCHButton"="C:\PROGRA~1\HPPAVI~1\Pavilion\XPHWWBS4\plugin\bin\PCHButton.exe" [2004-01-02 159744]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 81920]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 286720]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 C:\WINDOWS\AGRSMMSG.exe]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 C:\WINDOWS\ALCXMNTR.EXE]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

C:\Documents and Settings\Administrateur.FAMILLE\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

C:\Documents and Settings\Default User\Menu D‚marrer\Programmes\D‚marrage\
AutoTBar.exe [2003-09-30 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvSmkJb]
tuvSmkJb.dll [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.dvsd"= pdvcodec.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-03-16 11:45 63712 C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM2f7250e6]
C:\WINDOWS\system32\erqmjkvu.dll [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 04:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
--a------ 2003-02-11 20:02 61440 C:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-10-19 21:16 286720 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LVSrvLauncher"=3 (0x3)
"LVCOMSer"=2 (0x2)
"Fax"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\muzapp.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\TmNationsForever\\TmForever.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2007-08-03 2368]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 lgusbsmodem;LGE Mobile USB Modem;C:\WINDOWS\system32\DRIVERS\lgusbsmodem.sys [2007-06-11 42420]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-13 15104]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Info.exe folder.htt 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2cd45b02-5e0a-11dd-81dc-00112f2de155}]
\Shell\AutoRun\command - K:\browsercall.exe PhotoServiceEditionSetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7a79531e-2cad-11dd-8196-00112f2de155}]
\Shell\AutoRun\command - start.exe
\Shell\iledefrance\command - start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ca060091-c5a6-11dc-80d8-00112f2de155}]
\Shell\Auto\command - Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
.
Contenu du dossier 'Tâches planifiées'

2007-12-06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

2007-08-30 C:\WINDOWS\Tasks\Connexion facile à Internet.job
- C:\Program Files\Easy Internet signup\HPSdpApp.exe [2004-02-12 21:39]

2008-04-04 C:\WINDOWS\Tasks\HPpromotions journeysoftware.job
- C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 18:36]

2008-04-04 C:\WINDOWS\Tasks\Maintenance en 1 clic.job
- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe []
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{0DB367AD-E002-4458-A114-59825CB61FC0} - (no file)
BHO-{2B3EFD36-3E51-4630-A853-2D1B10C242DC} - (no file)
BHO-{6F86972D-D0BB-4069-A461-7028B0CCF43D} - (no file)
BHO-{7186704C-C78F-425D-80DC-17A8E83F246F} - (no file)
BHO-{84453962-AD12-455A-A78D-E6567C11603A} - (no file)
ShellExecuteHooks-{7186704C-C78F-425D-80DC-17A8E83F246F} - (no file)



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-04 19:33:40
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


**************************************************************************
.
Heure de fin: 2008-10-04 19:36:50
ComboFix-quarantined-files.txt 2008-10-04 17:35:45
ComboFix2.txt 2008-10-02 09:15:04

Avant-CF: 70,559,621,120 octets libres
Après-CF: 70,608,384,000 octets libres

195 --- E O F --- 2008-09-11 15:24:19

Merci

A+
-1
Réponse 9 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 oct. 2008 à 20:30
Tu as bien utilisé Flash Disinfector comme je te l'avais indiqué plus haut ? (parce que Combofix détecte un fichier infecté qui se transmet par disque amovible).


A part ça, ton ordinateur n'est plus infecté ;)
Je peux t'aider à finir le nettoyage et à le sécuriser davantage si tu le souhaites ?

-1
Réponse 10 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
5 oct. 2008 à 20:37
Salut,

Oui, j'ai bien utilisé le logiciel Flash Disinfector, mais je peu le refaire au besoin, voir réutilisé C-Fix.

Concernant l'aide pour le nettoyage et la sécurité, je suis d'accord.

Merci
-1
Réponse 11 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 oct. 2008 à 20:45
Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

- Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, tu peux trouver un tutoriel et un lien pour le télécharger ici.
Note : cette version est en anglais, mais une pré-version en français est disponible en français ici

- Pare-feu :
Tu n’as apparemment aucun pare-feu (sauf peut-être celui de Windows, qui est inefficace et ne filtre pas les connections sortantes utilisées par beaucoup d'infections...) : Télécharges-en un vrai. En gratuit, les plus simples sont ZoneAlarm, Kerio et Pc Tools. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel PcTools
- Tutoriel ZoneAlarm
- Tutoriel Kerio

- Anti-spyware :
Tu n'as apparemment pas d'anti-spyware actif :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant (vide la quarantaine de ce programme)

- Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

- Java n'est pas à jour, c'est une faille de sécurité.
Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les. Télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/

- Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')
O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')
O20 - Winlogon Notify: tuvSmkJb - tuvSmkJb.dll (file missing)

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Coche également toutes les lignes commençant par 016

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout (ex : Combofix), supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (attention à l'installation, pense à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Relance le nettoyage une deuxième fois.

Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

* Fais un clic droit sur poste de travail (qui est sur ton bureau ou dans le menu démarrer), puis propriétés.
* Sélectionne l'onglet restauration du système
* Coche l'option Désactiver la restauration du système sur tous les lecteurs
* Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite enfin à visiter cette page qui t'apportera des information de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet



7) Enfin, si tu n as pas d'autres problèmes, tu peux changer le statut du sujet en résolu : Aide





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
-1
Réponse 12 / 13
cobra85 Messages postés 132 Date d'inscription mercredi 20 décembre 2006 Statut Membre Dernière intervention 15 novembre 2014 3
6 oct. 2008 à 14:39
Merci beaucoup pour cette désinfection de PC.

Concernant le le fichier infecter qui se transmet par disque amovible, peut ton l'éliminer manuellement?

Bonne continuation.
-1
Réponse 13 / 13
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
6 oct. 2008 à 23:41
Flash Disinfector a dû le suppprimer et il met à la place un dossier vide portant le même nom pour empêcher le fichier de revenir (c'est un fichier caché, tu ne le verras probablement pas) ;)
-1

Discussions similaires

échec de l'analyse antivirus
StalkerShadows -
ness -

19 réponses
Echec analyse antivirus lors de téléchargement
mathelp_3935 -
Malekal_morte- -

19 réponses
" Échec de l'analyse antivirus " la solution.
bazfile -
bazfile -

0 réponse
Échec de l'analyse anti virus.
alice1414 -
bazfile -

3 réponses
Probleme bogue
Ines -
Pimmer -

1 réponse