infection,trojan spyware virus Résolu

Question

Bonjour,

salut a vous tous.Je fait appelle a vous car jai des problemes avec mon ordi.a chaque foie que je vais sur internet,plusieur pop up de securiter apparait et mon ordi me signal une infection presente.De plus,jai plusieur pistes sur la source du probleme.premierement, en tapant cmd dans executer.apres jai selectionner mon disque dur,apres jai entrer la command dir.je me suis appercu que javais 3 fichier virus mais jai seulement pu en suprimer un.pour les autres,impossible de les supprimer.Ces fichier provienne de flash adobe.mon ordi est aussi moin performante.Ces fichier porte le nom de nt user.data.LOG et NTUSER.DATA.LOG (en majuscule cette foie).mais se nest pas tout,il y a plusieur programme que je ne reconnait pas dans mon gestion de tache comme par example.jai 7 svchost.exe qui marche en permanance.svchost,un programme concernant le fax et limprimante je crois ne peu etre present 7 fois.Il y a aussi  spoolsv.exe   mctray.exe   igfexpers.exe  et naPrDMgr.exe  .aucune idee comment suprimer ceux -ci..
je ne peu meme pas faire de mise a jour de microsoft et au demarage,jai 2 fenetre qui souvre en me disant que jai un probleme avec le systeme32.

donc je suis ouvert au suggestion et votre aides serais tres apprecié.Merci de vos reponse

Destrio5 · Answer

Salut,

- Télécharge HijackThis V 2.02 (HijackThis Installer) :
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

- Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

- Clique sur Install ensuite sur I Accept

- Clique sur Do a scan system and save log file

- Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

Setz · Answer

Trend Micro HijackThis v2.0.2
Scan saved at 00:45:44, on 2008-10-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BM87758ed7] Rundll32.exe "C:\WINDOWS\system32\oipvalgx.dll",s
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [8446bd4b] rundll32.exe "C:\WINDOWS\system32\eqmwgypa.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1210628943500
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - AppInit_DLLs: cghmdw.dll ljjcxk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll ippluy.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Destrio5 · Answer

Infection Vundo.

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix\Combofix.txt

Setz · Answer

jai aussi remarquer que jai un icon de securiter qui me dit que ma fonction mise a jour automatique est desactivermais je narrive pas a la reactiver.jai marquer services.msc dans executer apres proprieter de mise a jour automatique et jai selectionner loption automatique mais il se remet automatiquement a desactiver,alors je penssais peut-etre qun virus en etais la cause

Destrio5 · Answer

C'est normal, c'est Vundo qui fait ça.

Setz · Answer

ok mais est ce que je fait tout sa sur le mode sans echec?

Setz · Answer

vundo? peu tu men dire plus

Destrio5 · Answer

Reste en mode normal ;)

O4 - HKLM\..\Run: [BM87758ed7] Rundll32.exe "C:\WINDOWS\system32\oipvalgx.dll",s
O4 - HKLM\..\Run: [8446bd4b] rundll32.exe "C:\WINDOWS\system32\eqmwgypa.dll",b 

---> Pour en savoir plus sur Vundo :
http://www.malekal.com/Trojan.vundo.php

Setz · Answer

voila le rapport -10-09.02 - Tomy 2008-10-10 1:00:42.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.282 [GMT -4:00] Running from: C:\Documents and Settings\Tomy\Bureau\ComboFix.exe * Created a new restore point [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\BM87758ed7.txt C:\WINDOWS\BM87758ed7.xml C:\WINDOWS\cookies.ini C:\WINDOWS\pskt.ini C:\WINDOWS\system32\apygwmqe.ini C:\WINDOWS\system32\bwpvbsoo.ini C:\WINDOWS\system32\cahkynho.ini C:\WINDOWS\system32\cixpdjht.ini C:\WINDOWS\system32\drivers\core.cache.dsk C:\WINDOWS\system32\eiypai.dll C:\WINDOWS\system32\eqmwgypa.dll C:\WINDOWS\system32\fvurgc.dll C:\WINDOWS\system32\gjyaomkh.dll C:\WINDOWS\system32\hhxybxov.ini C:\WINDOWS\system32\ippluy.dll C:\WINDOWS\system32\jkkKeBUm.dll C:\WINDOWS\system32\ljbnkofn.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mijbmhrn.ini C:\WINDOWS\system32\mUBeKkkj.ini C:\WINDOWS\system32\mUBeKkkj.ini2 C:\WINDOWS\system32 egpsxma.ini C:\WINDOWS\system32 lflrkwk.ini C:\WINDOWS\system32\oehfsu.dll C:\WINDOWS\system32\ohjgagip.ini C:\WINDOWS\system32 YHRXGgh.ini C:\WINDOWS\system32 YHRXGgh.ini2 C:\WINDOWS\system32\vhaiyxku.ini . ((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 ))))))))))))))))))))))))))))))) . 2008-10-10 00:45 . 2008-10-10 00:45 d-------- C:\Program Files\Trend Micro 2008-10-09 23:19 . 2008-10-10 00:06 d-------- C:\WINDOWS\BDOSCAN8 2008-10-09 19:46 . 2008-10-09 20:33 1,160 --a------ C:\WINDOWS\system32 mp.reg 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage réseau 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage d'impression 2008-10-09 19:21 . 2007-08-02 10:40 d--h----- C:\Documents and Settings\Tomy\Modèles 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Mes documents 2008-10-09 19:21 . 2007-08-02 06:23 dr------- C:\Documents and Settings\Tomy\Menu Démarrer 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Favoris 2008-10-09 19:21 . 2008-10-10 00:57 d-------- C:\Documents and Settings\Tomy\Bureau 2008-10-09 19:21 . 2008-10-10 01:03 d-------- C:\Documents and Settings\Tomy 2008-10-08 23:55 . 2008-10-08 23:55 123,904 --a------ C:\WINDOWS\system32\irgeohpr.dll 2008-10-08 23:52 . 2008-10-08 23:52 71,680 --a------ C:\WINDOWS\system32 hjdpxic.dll 2008-10-07 23:51 . 2008-10-07 23:51 67,584 --a------ C:\WINDOWS\system32\ohnykhac.dll 2008-10-07 23:50 . 2008-10-07 23:50 123,904 --a------ C:\WINDOWS\system32\oqoclauh.dll 2008-10-07 23:33 . 2008-10-07 23:52 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-10-07 23:33 . 2008-10-07 23:33 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-10-07 23:32 . 2008-10-07 23:32 d-------- C:\Program Files\Kaspersky Lab 2008-10-07 23:32 . 2008-10-09 20:46 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-10-07 23:32 . 2008-10-10 01:03 2,802,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-07 23:32 . 2008-10-10 01:03 188,448 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-10-07 23:32 . 2008-10-10 01:03 22,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-07 23:32 . 2008-10-10 01:03 1,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-10-07 23:30 . 2008-10-07 23:30 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-10-07 23:07 . 2008-10-07 23:08 23,392 --a------ C:\WINDOWS\system32 scompat.tlb 2008-10-07 23:07 . 2008-10-07 23:08 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb 2008-10-07 22:54 . 2005-03-31 01:06 36,864 --------- C:\WINDOWS\system32\CTCamMgr.dll 2008-10-07 22:48 . 2008-10-07 22:48 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2008-10-06 17:46 . 2008-10-06 17:46 12 --a------ C:\WINDOWS\system32\pgvmc.dat 2008-10-06 17:37 . 2008-10-06 17:37 733 --a------ C:\WINDOWS\WININIT.INI 2008-10-06 17:37 . 2008-10-06 17:37 123 --a------ C:\WINDOWS\TMPCPYIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 122 --a------ C:\WINDOWS\TMPDELIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 26 --a------ C:\WINDOWS\WINSTART.BAT 2008-10-06 17:35 . 2008-10-06 17:35 d-------- C:\CHARANGA 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a------ C:\WINDOWS\system32\drivers\ac97intc.sys 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys 2008-09-11 11:40 . 2008-09-11 11:40 d-------- C:\Documents and Settings\All Users\Application Data\Creative 2008-09-10 16:01 . 2008-10-08 00:43 119,808 --a------ C:\WINDOWS\system32 yfevkrt.dll 2008-09-10 15:58 . 2008-09-10 15:58 89,600 --a------ C:\WINDOWS\system32\oipvalgx.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 03:06 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-10-08 03:00 --------- d-----w C:\Program Files\Windows Live 2008-10-08 02:57 --------- d-----w C:\Program Files\Creative 2008-10-08 02:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Viewpoint 2008-10-08 02:50 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-10-08 02:49 --------- d-----w C:\Program Files\McAfee 2008-10-08 02:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee 2008-09-11 15:41 --------- d-----w C:\Program Files\SightSpeed 2008-09-11 15:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-11 15:20 --------- d-----w C:\Program Files\Fichiers communs\AOL . ------- Sigcheck ------- 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe 2007-06-13 09:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 08:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "BM87758ed7"="C:\WINDOWS\system32\oipvalgx.dll" [2008-09-10 89600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\McAfee\Common Framework\FrameworkService.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] S1 vgaa;vgaa;C:\WINDOWS\system32\drivers\vgaa.sys [ ] . - - - - ORPHANS REMOVED - - - - BHO-{31665234-F273-4FAF-9F9A-FDFC10471A00} - C:\WINDOWS\system32\hgGXRHYr.dll BHO-{88D3A9C5-FD4F-4D99-8672-FD72F9FD51DD} - C:\WINDOWS\system32 NeDtuSJ.dll BHO-{c564f5a1-33e9-4f5d-8992-e8692238a92b} - C:\WINDOWS\system32\ippluy.dll BHO-{D77FED71-C4A3-46AD-8198-BEB632986CE5} - C:\WINDOWS\system32\jkkKeBUm.dll HKLM-Run-8446bd4b - C:\WINDOWS\system32\eqmwgypa.dll Notify-ddcCRliG - ddcCRliG.dll Notify-dimsntfy - (no file) Notify-nNeDtuSJ - nNeDtuSJ.dll . ------- Supplementary Scan ------- . O16 -: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab C:\WINDOWS\Downloaded Program Files\GoPetsWeb.inf C:\WINDOWS\Downloaded Program Files\GoPetsWeb.ocx . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-10 01:04:27 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\McAfee\Common Framework\FrameworkService.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\McAfee\Common Framework aPrdMgr.exe C:\Program Files\McAfee\Common Framework\Mctray.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-10-10 1:06:36 - machine was rebooted ComboFix-quarantined-files.txt 2008-10-10 05:06:33 Post-Run: 69,137,141,760 octets libres 170 --- E O F --- 2008-08-24 01:36:11

Destrio5 · Answer

/!\ Seul Setz peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\WINDOWS\system32	mp.reg 
C:\WINDOWS\system32\irgeohpr.dll 
C:\WINDOWS\system32	hjdpxic.dll 
C:\WINDOWS\system32\ohnykhac.dll 
C:\WINDOWS\system32\oqoclauh.dll 
C:\WINDOWS\system32yfevkrt.dll 
C:\WINDOWS\system32\oipvalgx.dll 

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"BM87758ed7"=-






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Setz · Answer

ok combofix me dit qun update est disponnible.je la fait?

Destrio5 · Answer

Oui.

Setz · Answer

et voila ComboFix 08-10-09.04 - Tomy 2008-10-10 1:19:51.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.294 [GMT -4:00] Running from: C:\Documents and Settings\Tomy\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Tomy\Bureau\CFScript.txt * Created a new restore point [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] FILE :: C:\WINDOWS\system32\irgeohpr.dll C:\WINDOWS\system32\ohnykhac.dll C:\WINDOWS\system32\oipvalgx.dll C:\WINDOWS\system32\oqoclauh.dll C:\WINDOWS\system32 yfevkrt.dll C:\WINDOWS\system32 hjdpxic.dll C:\WINDOWS\system32 mp.reg . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\irgeohpr.dll C:\WINDOWS\system32\ohnykhac.dll C:\WINDOWS\system32\oipvalgx.dll C:\WINDOWS\system32\oqoclauh.dll C:\WINDOWS\system32 yfevkrt.dll C:\WINDOWS\system32 hjdpxic.dll C:\WINDOWS\system32 mp.reg . ((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 ))))))))))))))))))))))))))))))) . 2008-10-10 00:45 . 2008-10-10 00:45 d-------- C:\Program Files\Trend Micro 2008-10-09 23:19 . 2008-10-10 00:06 d-------- C:\WINDOWS\BDOSCAN8 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage réseau 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage d'impression 2008-10-09 19:21 . 2007-08-02 10:40 d--h----- C:\Documents and Settings\Tomy\Modèles 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Mes documents 2008-10-09 19:21 . 2007-08-02 06:23 dr------- C:\Documents and Settings\Tomy\Menu Démarrer 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Favoris 2008-10-09 19:21 . 2008-10-10 01:19 d-------- C:\Documents and Settings\Tomy\Bureau 2008-10-09 19:21 . 2008-10-10 01:03 d-------- C:\Documents and Settings\Tomy 2008-10-07 23:33 . 2008-10-07 23:52 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-10-07 23:33 . 2008-10-07 23:33 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-10-07 23:32 . 2008-10-07 23:32 d-------- C:\Program Files\Kaspersky Lab 2008-10-07 23:32 . 2008-10-09 20:46 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-10-07 23:32 . 2008-10-10 01:20 2,802,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-07 23:32 . 2008-10-10 01:20 188,448 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-10-07 23:32 . 2008-10-10 01:20 22,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-07 23:32 . 2008-10-10 01:20 1,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-10-07 23:30 . 2008-10-07 23:30 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-10-07 23:07 . 2008-10-07 23:08 23,392 --a------ C:\WINDOWS\system32 scompat.tlb 2008-10-07 23:07 . 2008-10-07 23:08 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb 2008-10-07 22:54 . 2005-03-31 01:06 36,864 --------- C:\WINDOWS\system32\CTCamMgr.dll 2008-10-07 22:48 . 2008-10-07 22:48 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2008-10-06 17:46 . 2008-10-06 17:46 12 --a------ C:\WINDOWS\system32\pgvmc.dat 2008-10-06 17:37 . 2008-10-06 17:37 733 --a------ C:\WINDOWS\WININIT.INI 2008-10-06 17:37 . 2008-10-06 17:37 123 --a------ C:\WINDOWS\TMPCPYIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 122 --a------ C:\WINDOWS\TMPDELIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 26 --a------ C:\WINDOWS\WINSTART.BAT 2008-10-06 17:35 . 2008-10-06 17:35 d-------- C:\CHARANGA 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a------ C:\WINDOWS\system32\drivers\ac97intc.sys 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys 2008-09-11 11:40 . 2008-09-11 11:40 d-------- C:\Documents and Settings\All Users\Application Data\Creative . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 04:43 119,808 ----a-w C:\WINDOWS\system32 ttgrqqn.dll 2008-10-08 03:06 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-10-08 03:00 --------- d-----w C:\Program Files\Windows Live 2008-10-08 02:57 --------- d-----w C:\Program Files\Creative 2008-10-08 02:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Viewpoint 2008-10-08 02:50 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-10-08 02:49 --------- d-----w C:\Program Files\McAfee 2008-10-08 02:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee 2008-10-01 19:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe 2008-09-19 16:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe 2008-09-19 16:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe 2008-09-11 15:41 --------- d-----w C:\Program Files\SightSpeed 2008-09-11 15:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-11 15:20 --------- d-----w C:\Program Files\Fichiers communs\AOL 2008-09-09 20:01 119,808 ----a-w C:\WINDOWS\system32\butvfmui.dll 2008-09-09 19:58 89,600 ----a-w C:\WINDOWS\system32\vyqbvwte.dll 2008-09-09 03:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-09-08 19:58 89,600 ----a-w C:\WINDOWS\system32\cgvavgys.dll 2008-09-07 20:01 119,808 ----a-w C:\WINDOWS\system32\inmdpouu.dll 2008-09-07 19:58 82,944 ----a-w C:\WINDOWS\system32\pigagjho.dll 2008-09-07 19:55 89,600 ----a-w C:\WINDOWS\system32\hlnxwyuq.dll 2008-09-06 19:56 119,808 ----a-w C:\WINDOWS\system32\xomalhfe.dll 2008-09-05 17:58 119,808 ----a-w C:\WINDOWS\system32\vmmuqswj.dll 2008-09-05 17:52 89,600 ----a-w C:\WINDOWS\system32\dcbkhuoa.dll 2008-08-18 16:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe 2008-07-30 00:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll 2008-07-24 18:59 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-07-24 18:59 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-07-24 18:59 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-07-24 00:13 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll . ------- Sigcheck ------- 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe 2007-06-13 09:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 08:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-10-10_ 1.06.09.18 ))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\McAfee\Common Framework\FrameworkService.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] S1 vgaa;vgaa;C:\WINDOWS\system32\drivers\vgaa.sys [ ] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-10 01:22:00 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\McAfee\Common Framework\FrameworkService.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\McAfee\Common Framework aPrdMgr.exe C:\Program Files\McAfee\Common Framework\Mctray.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-10-10 1:24:00 - machine was rebooted ComboFix-quarantined-files.txt 2008-10-10 05:23:57 ComboFix2.txt 2008-10-10 05:06:37 Pre-Run: 69 114 920 960 octets libres Post-Run: 69,106,663,424 octets libres 159 --- E O F --- 2008-08-24 01:36:11

Destrio5 · Answer

---> Fais un scan rapide avec MBAM, supprime tout ce qu'il trouve et poste le rapport :
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.htm

Setz · Answer

comment as-tu fait pour savoir que cetais ces fichier  quil fallais supprimer et pas les autres?
 C:\WINDOWS\system32\irgeohpr.dll 
C:\WINDOWS\system32\ohnykhac.dll 
C:\WINDOWS\system32\oipvalgx.dll 
C:\WINDOWS\system32\oqoclauh.dll 
C:\WINDOWS\system32yfevkrt.dll 
C:\WINDOWS\system32	hjdpxic.dll 
C:\WINDOWS\system32	mp.reg

Destrio5 · Answer

A force, je les reconnais. Fais une recherche avec irgeohpr.dll par exemple, tu n'auras aucun résultat.

Setz · Answer

il dit quil na rien detecter .voici le rapport


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1248
Windows 5.1.2600 Service Pack 2

2008-10-10 01:35:11
mbam-log-2008-10-10 (01-35-11).txt

Type de recherche: Examen rapide
Eléments examinés: 45624
Temps écoulé: 3 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Destrio5 · Answer

/!\ Seul Setz peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
C:\WINDOWS\system32\404Fix.exe     
C:\WINDOWS\system32\dcbkhuoa.dll
C:\WINDOWS\system32\vmmuqswj.dll 
C:\WINDOWS\system32\xomalhfe.dll 
C:\WINDOWS\system32\hlnxwyuq.dll 
C:\WINDOWS\system32\pigagjho.dll 
C:\WINDOWS\system32\inmdpouu.dll 
C:\WINDOWS\system32\cgvavgys.dll 
C:\WINDOWS\system32\AntiXPVSTFix.exe 
C:\WINDOWS\system32\vyqbvwte.dll 
C:\WINDOWS\system32\butvfmui.dll 
C:\WINDOWS\system32\IEDFix.C.exe     
C:\WINDOWS\system32\o4Patch.exe 
C:\WINDOWS\system32\VACFix.exe  
C:\WINDOWS\system32\rttgrqqn.dll 
 
Driver::
vgaa






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Setz · Answer

voila ComboFix 08-10-09.04 - Tomy 2008-10-10 1:42:42.3 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.291 [GMT -4:00] Running from: C:\Documents and Settings\Tomy\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Tomy\Bureau\CFScript.txt * Created a new restore point [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] FILE :: C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\AntiXPVSTFix.exe C:\WINDOWS\system32\butvfmui.dll C:\WINDOWS\system32\cgvavgys.dll C:\WINDOWS\system32\dcbkhuoa.dll C:\WINDOWS\system32\hlnxwyuq.dll C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\inmdpouu.dll C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\pigagjho.dll C:\WINDOWS\system32 ttgrqqn.dll C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\vmmuqswj.dll C:\WINDOWS\system32\vyqbvwte.dll C:\WINDOWS\system32\xomalhfe.dll . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\404Fix.exe C:\WINDOWS\system32\AntiXPVSTFix.exe C:\WINDOWS\system32\butvfmui.dll C:\WINDOWS\system32\cgvavgys.dll C:\WINDOWS\system32\dcbkhuoa.dll C:\WINDOWS\system32\hlnxwyuq.dll C:\WINDOWS\system32\IEDFix.C.exe C:\WINDOWS\system32\inmdpouu.dll C:\WINDOWS\system32\o4Patch.exe C:\WINDOWS\system32\pigagjho.dll C:\WINDOWS\system32 ttgrqqn.dll C:\WINDOWS\system32\VACFix.exe C:\WINDOWS\system32\vmmuqswj.dll C:\WINDOWS\system32\vyqbvwte.dll C:\WINDOWS\system32\xomalhfe.dll . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_VGAA -------\Service_vgaa ((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 ))))))))))))))))))))))))))))))) . 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Documents and Settings\Tomy\Application Data\Malwarebytes 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-10 01:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-10 01:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-10 00:45 . 2008-10-10 00:45 d-------- C:\Program Files\Trend Micro 2008-10-09 23:19 . 2008-10-10 00:06 d-------- C:\WINDOWS\BDOSCAN8 2008-10-09 19:45 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-09 19:45 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-09 19:45 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-09 19:45 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-09 19:45 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-09 19:45 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage réseau 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage d'impression 2008-10-09 19:21 . 2007-08-02 10:40 d--h----- C:\Documents and Settings\Tomy\Modèles 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Mes documents 2008-10-09 19:21 . 2007-08-02 06:23 dr------- C:\Documents and Settings\Tomy\Menu Démarrer 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Favoris 2008-10-09 19:21 . 2008-10-10 01:42 d-------- C:\Documents and Settings\Tomy\Bureau 2008-10-09 19:21 . 2008-10-10 01:03 d-------- C:\Documents and Settings\Tomy 2008-10-07 23:33 . 2008-10-07 23:52 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-10-07 23:33 . 2008-10-07 23:33 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-10-07 23:32 . 2008-10-07 23:32 d-------- C:\Program Files\Kaspersky Lab 2008-10-07 23:32 . 2008-10-09 20:46 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-10-07 23:32 . 2008-10-10 01:43 2,802,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-07 23:32 . 2008-10-10 01:43 188,448 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-10-07 23:32 . 2008-10-10 01:43 22,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-07 23:32 . 2008-10-10 01:43 1,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-10-07 23:30 . 2008-10-07 23:30 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-10-07 23:07 . 2008-10-07 23:08 23,392 --a------ C:\WINDOWS\system32 scompat.tlb 2008-10-07 23:07 . 2008-10-07 23:08 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb 2008-10-07 22:54 . 2005-03-31 01:06 36,864 --------- C:\WINDOWS\system32\CTCamMgr.dll 2008-10-07 22:48 . 2008-10-07 22:48 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2008-10-06 17:46 . 2008-10-06 17:46 12 --a------ C:\WINDOWS\system32\pgvmc.dat 2008-10-06 17:37 . 2008-10-06 17:37 733 --a------ C:\WINDOWS\WININIT.INI 2008-10-06 17:37 . 2008-10-06 17:37 123 --a------ C:\WINDOWS\TMPCPYIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 122 --a------ C:\WINDOWS\TMPDELIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 26 --a------ C:\WINDOWS\WINSTART.BAT 2008-10-06 17:35 . 2008-10-06 17:35 d-------- C:\CHARANGA 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a------ C:\WINDOWS\system32\drivers\ac97intc.sys 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys 2008-09-11 11:40 . 2008-09-11 11:40 d-------- C:\Documents and Settings\All Users\Application Data\Creative . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 03:06 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-10-08 03:00 --------- d-----w C:\Program Files\Windows Live 2008-10-08 02:57 --------- d-----w C:\Program Files\Creative 2008-10-08 02:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Viewpoint 2008-10-08 02:50 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-10-08 02:49 --------- d-----w C:\Program Files\McAfee 2008-10-08 02:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee 2008-09-11 15:41 --------- d-----w C:\Program Files\SightSpeed 2008-09-11 15:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-11 15:20 --------- d-----w C:\Program Files\Fichiers communs\AOL 2008-07-30 00:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll 2008-07-24 18:59 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-07-24 18:59 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-07-24 18:59 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-07-24 00:13 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll . ------- Sigcheck ------- 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe 2007-06-13 09:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 08:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-10-10_ 1.06.09.18 ))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "McAfeeUpdaterUI"="C:\Program Files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\McAfee\Common Framework\FrameworkService.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-10 01:44:59 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\McAfee\Common Framework\FrameworkService.exe C:\WINDOWS\system32\wdfmgr.exe C:\Program Files\McAfee\Common Framework aPrdMgr.exe C:\Program Files\McAfee\Common Framework\Mctray.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-10-10 1:46:44 - machine was rebooted ComboFix-quarantined-files.txt 2008-10-10 05:46:41 ComboFix2.txt 2008-10-10 05:24:01 ComboFix3.txt 2008-10-10 05:06:37 Pre-Run: 69 085 356 032 octets libres Post-Run: 69,077,749,760 octets libres 175 --- E O F --- 2008-08-24 01:36:11

Destrio5 · Answer

Tu as Kaspersky et McAfee qui tournent en même temps, il faut en retirer un.

Setz · Answer

jai deja desinstaller mcafee il y a 2 jour :S

Destrio5 · Answer

---> Utilise ceci :
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe

Setz · Answer

je ne sais pas pourquoi tu dit que les 2 run en meme temps puisque jai deleter mcafee il y a deux jours..apart sa.. mon ordi est il gueri?

Setz · Answer

sa marche pas.sa dit .. mcafee enterprise sofware detected.cannot continue.please contact mcafee thecnical support

Destrio5 · Answer

"je ne sais pas pourquoi tu dit que les 2 run en meme temps puisque jai deleter mcafee il y a deux jours"

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program Files\McAfee\Common Framework\FrameworkService.exe

Setz · Answer

mais je ne veu pas mcafee je veu le deleter mais ta metode marche pas :(

Destrio5 · Answer

/!\ Seul Setz peut suivre cette procédure /!\


1/

---> Clique sur Démarrer, Exécuter, tape notepad clique sur OK.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Folder::
C:\Program Files\McAfee\






---> Colle la sélection dans le bloc-notes

---> Enregistre ce fichier sur le bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer
---> Quitte le bloc-notes


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\ComboFix.txt

Setz · Answer

des mise a jour de microsoft me son apparu.avant je ne pouvais pas faire de update a cause de mes infection..cela veut il dire que mon ordi est clear? voila le rapport pour mcafee ComboFix 08-10-09.04 - Tomy 2008-10-10 2:08:51.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.297 [GMT -4:00] Running from: C:\Documents and Settings\Tomy\Bureau\ComboFix.exe Command switches used :: C:\Documents and Settings\Tomy\Bureau\CFScript.txt * Created a new restore point [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\McAfee\ C:\Program Files\McAfee\Common Framework\[u]0[/u]409\AgentRes.dll C:\Program Files\McAfee\Common Framework\[u]0[/u]409\AgentRes64.dll C:\Program Files\McAfee\Common Framework\[u]0[/u]409\CmaUIRes.dll C:\Program Files\McAfee\Common Framework\[u]0[/u]409\ScrptRes.dll C:\Program Files\McAfee\Common Framework\[u]0[/u]409\UpdRes.dll C:\Program Files\McAfee\Common Framework\Agent.dll C:\Program Files\McAfee\Common Framework\Agent64.dll C:\Program Files\McAfee\Common Framework\AgentPlugin.dll C:\Program Files\McAfee\Common Framework\applib.dll C:\Program Files\McAfee\Common Framework\applib64.dll C:\Program Files\McAfee\Common Framework\Cleanup.exe C:\Program Files\McAfee\Common Framework\ClientUI.dll C:\Program Files\McAfee\Common Framework\cmalib.dll C:\Program Files\McAfee\Common Framework\cmalib64.dll C:\Program Files\McAfee\Common Framework\CmdAgent.exe C:\Program Files\McAfee\Common Framework\ComponentFrameworkCallback64.dll C:\Program Files\McAfee\Common Framework\ComponentPolicyEnforcement64.dll C:\Program Files\McAfee\Common Framework\ComponentSubSystem.dll C:\Program Files\McAfee\Common Framework\ComponentSubSystem64.dll C:\Program Files\McAfee\Common Framework\FrameworkService.exe C:\Program Files\McAfee\Common Framework\FrmInst.exe C:\Program Files\McAfee\Common Framework\FrmPlugin.dll C:\Program Files\McAfee\Common Framework\GenEvtInf.dll C:\Program Files\McAfee\Common Framework\GenEvtInf64.dll C:\Program Files\McAfee\Common Framework\InternetManager.dll C:\Program Files\McAfee\Common Framework\InternetManager64.dll C:\Program Files\McAfee\Common Framework\JrMac.dll C:\Program Files\McAfee\Common Framework\ListenServer.dll C:\Program Files\McAfee\Common Framework\Logging.dll C:\Program Files\McAfee\Common Framework\Logging64.dll C:\Program Files\McAfee\Common Framework\Management.dll C:\Program Files\McAfee\Common Framework\Management64.dll C:\Program Files\McAfee\Common Framework\McScanCheck.exe C:\Program Files\McAfee\Common Framework\McScript.exe C:\Program Files\McAfee\Common Framework\McScript_InUse.exe C:\Program Files\McAfee\Common Framework\Mctray.exe C:\Program Files\McAfee\Common Framework\mcurial.dll C:\Program Files\McAfee\Common Framework\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest C:\Program Files\McAfee\Common Framework\Microsoft.VC80.CRT\msvcm80.dll C:\Program Files\McAfee\Common Framework\Microsoft.VC80.CRT\msvcp80.dll C:\Program Files\McAfee\Common Framework\Microsoft.VC80.CRT\msvcr80.dll C:\Program Files\McAfee\Common Framework\msvcp71.dll C:\Program Files\McAfee\Common Framework\msvcr71.dll C:\Program Files\McAfee\Common Framework\naCmnLib64.dll C:\Program Files\McAfee\Common Framework\naCmnLib71.dll C:\Program Files\McAfee\Common Framework\nagshr32.dll C:\Program Files\McAfee\Common Framework\naicrt32.dll C:\Program Files\McAfee\Common Framework\nailog.dll C:\Program Files\McAfee\Common Framework\nailog64.dll C:\Program Files\McAfee\Common Framework\naInet.dll C:\Program Files\McAfee\Common Framework\naInet64.dll C:\Program Files\McAfee\Common Framework\naisign.dll C:\Program Files\McAfee\Common Framework\naitcpp.dll C:\Program Files\McAfee\Common Framework\naPolicyManager.dll C:\Program Files\McAfee\Common Framework\naPolicyManager64.dll C:\Program Files\McAfee\Common Framework\naPrdMgr.exe C:\Program Files\McAfee\Common Framework\naPrdMgr64.exe C:\Program Files\McAfee\Common Framework\naSPIPE.dll C:\Program Files\McAfee\Common Framework\naSPIPE64.dll C:\Program Files\McAfee\Common Framework\naXML64.dll C:\Program Files\McAfee\Common Framework\naXML71.dll C:\Program Files\McAfee\Common Framework\nmcomn32.dll C:\Program Files\McAfee\Common Framework\patchw32.dll C:\Program Files\McAfee\Common Framework\PcrPlug.dll C:\Program Files\McAfee\Common Framework\PoEvtInf.dll C:\Program Files\McAfee\Common Framework\Scheduler.dll C:\Program Files\McAfee\Common Framework\Scheduler64.dll C:\Program Files\McAfee\Common Framework\ScriptSubSys.dll C:\Program Files\McAfee\Common Framework\SecureFrameworkFactory.dll C:\Program Files\McAfee\Common Framework\SecureFrameworkFactory64.dll C:\Program Files\McAfee\Common Framework\TCHelper.dll C:\Program Files\McAfee\Common Framework\TCSubSys.dll C:\Program Files\McAfee\Common Framework\UdaterUI.exe C:\Program Files\McAfee\Common Framework\unicows.dll C:\Program Files\McAfee\Common Framework\UpdateSubSys.dll C:\Program Files\McAfee\Common Framework\UpdPlug.dll C:\Program Files\McAfee\Common Framework\UserSpace.dll C:\Program Files\McAfee\Common Framework\XMLWrap.dll . ((((((((((((((((((((((((( Files Created from 2008-09-10 to 2008-10-10 ))))))))))))))))))))))))))))))) . 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Documents and Settings\Tomy\Application Data\Malwarebytes 2008-10-10 01:30 . 2008-10-10 01:30 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-10-10 01:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-10 01:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-10 00:45 . 2008-10-10 00:45 d-------- C:\Program Files\Trend Micro 2008-10-09 23:19 . 2008-10-10 00:06 d-------- C:\WINDOWS\BDOSCAN8 2008-10-09 19:45 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-09 19:45 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-09 19:45 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-09 19:45 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-09 19:45 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-09 19:45 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage réseau 2008-10-09 19:21 . 2007-08-02 06:23 d--h----- C:\Documents and Settings\Tomy\Voisinage d'impression 2008-10-09 19:21 . 2007-08-02 10:40 d--h----- C:\Documents and Settings\Tomy\Modèles 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Mes documents 2008-10-09 19:21 . 2007-08-02 06:23 dr------- C:\Documents and Settings\Tomy\Menu Démarrer 2008-10-09 19:21 . 2008-10-09 19:22 d---s---- C:\Documents and Settings\Tomy\Favoris 2008-10-09 19:21 . 2008-10-10 02:08 d-------- C:\Documents and Settings\Tomy\Bureau 2008-10-09 19:21 . 2008-10-10 01:03 d-------- C:\Documents and Settings\Tomy 2008-10-07 23:33 . 2008-10-07 23:52 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-10-07 23:33 . 2008-10-07 23:33 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-10-07 23:32 . 2008-10-07 23:32 d-------- C:\Program Files\Kaspersky Lab 2008-10-07 23:32 . 2008-10-09 20:46 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab 2008-10-07 23:32 . 2008-10-10 02:10 2,802,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-07 23:32 . 2008-10-10 02:10 188,448 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-10-07 23:32 . 2008-10-10 02:10 22,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-07 23:32 . 2008-10-10 02:10 1,724 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-10-07 23:30 . 2008-10-07 23:30 d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-10-07 23:07 . 2008-10-07 23:08 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb 2008-10-07 23:07 . 2008-10-07 23:08 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb 2008-10-07 22:54 . 2005-03-31 01:06 36,864 --------- C:\WINDOWS\system32\CTCamMgr.dll 2008-10-07 22:48 . 2008-10-07 22:48 d-------- C:\Documents and Settings\All Users\Application Data\Avg7 2008-10-06 17:46 . 2008-10-06 17:46 12 --a------ C:\WINDOWS\system32\pgvmc.dat 2008-10-06 17:37 . 2008-10-06 17:37 733 --a------ C:\WINDOWS\WININIT.INI 2008-10-06 17:37 . 2008-10-06 17:37 123 --a------ C:\WINDOWS\TMPCPYIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 122 --a------ C:\WINDOWS\TMPDELIS.BAT 2008-10-06 17:37 . 2008-10-06 17:37 26 --a------ C:\WINDOWS\WINSTART.BAT 2008-10-06 17:35 . 2008-10-06 17:35 d-------- C:\CHARANGA 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a------ C:\WINDOWS\system32\drivers\ac97intc.sys 2008-09-11 19:30 . 2001-08-17 20:20 96,256 --a--c--- C:\WINDOWS\system32\dllcache\ac97intc.sys 2008-09-11 11:40 . 2008-09-11 11:40 d-------- C:\Documents and Settings\All Users\Application Data\Creative . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-08 03:06 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment 2008-10-08 03:00 --------- d-----w C:\Program Files\Windows Live 2008-10-08 02:57 --------- d-----w C:\Program Files\Creative 2008-10-08 02:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\Viewpoint 2008-10-08 02:50 --------- d-----w C:\Program Files\Windows Media Connect 2 2008-10-08 02:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\McAfee 2008-09-11 15:41 --------- d-----w C:\Program Files\SightSpeed 2008-09-11 15:24 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-11 15:20 --------- d-----w C:\Program Files\Fichiers communs\AOL 2008-07-30 00:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll 2008-07-24 18:59 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll 2008-07-24 18:59 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll 2008-07-24 18:59 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll 2008-07-24 00:13 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll . ------- Sigcheck ------- 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe 2007-06-13 09:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-05 08:00 1036288 4c33e5b9a6197b6ed215f6cfba0a2daa C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 09:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-10-10_ 1.06.09.18 ))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-09-20 94208] "igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-09-20 77824] "igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-09-20 114688] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592] . - - - - ORPHANS REMOVED - - - - HKLM-Run-McAfeeUpdaterUI - C:\Program Files\McAfee\Common Framework\UdaterUI.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-10 02:11:12 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-10-10 2:13:17 - machine was rebooted ComboFix-quarantined-files.txt 2008-10-10 06:13:14 ComboFix2.txt 2008-10-10 05:46:45 ComboFix3.txt 2008-10-10 05:24:01 ComboFix4.txt 2008-10-10 05:06:37 Pre-Run: 69 062 078 464 octets libres Post-Run: 69,044,269,056 octets libres 216 --- E O F --- 2008-08-24 01:36:11

Destrio5 · Answer

Niveau infection, c'est ok pour moi.

Poste un nouveau rapport HijackThis.

Setz · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:20:03, on 2008-10-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1210628943500
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Destrio5 · Answer

---> Menu démarrer > Exécuter 

---> Tape cmd et valide par Entrée

---> Dans la fenêtre noire, tape sc delete McAfeeFramework et valide par Entrée

---> Poste un dernier rapport HijackThis

Setz · Answer

le resultat du teste peut-il etre diffeent si je suis connecter a un autre user profil?

Setz · Answer

sa me dit accet refuser

Destrio5 · Answer

A quel moment ?

Setz · Answer

lorsque je valide  le sc delete mcafeeframework

Setz · Answer

mais linstalation du programme ses fait sur un autre profil..je sais pas si sa change quelques choses

Destrio5 · Answer

On va procéder autrement alors.

---> Relance HijackThis et choisis Do a system scan only

---> Coche les cases qui sont devant les lignes suivantes :

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"     

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')     

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')     

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')     

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU) 

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)     

---> Clique en bas sur Fix checked. Mets oui si HijackThis te demande quelque chose.

---> Redémarre ton PC et poste un nouveau rapport HijackThis

Setz · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:34:01, on 2008-10-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1210628943500
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Destrio5 · Answer

---> Menu démarrer > Exécuter

---> Tape services.msc et valide par Entrée

---> Cherche McAfee Framework Service (McAfeeFramework) et mets-le en Désactivé

Setz · Answer

marche pas sa dit impossible douvrire le service mcafeeframwork pour ecriture sur ordinateur local
erreur 5:accet refuser

Destrio5 · Answer

---> Relance HijackThis et choisis Open the Misc Tools section

---> Choisis Delete an NT service

---> Copie/Colle ceci :

McAfeeFramework

---> Puis clique sur OK

---> Reposte un rapport HijackThis

Setz · Answer

marche pas sa dit  the service mcafeeframwork is enabled and/or running.disable first,using HijackThis itself  (from the scan result) or the service.msc window

Destrio5 · Answer

On tourne en rond xD

- Crée un fichier Bloc-notes avec le texte qui se trouve ci-dessous (copie/colle): 



REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_McAfeeFramework]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_McAfeeFramework]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework ]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_McAfeeFramework]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\McAfeeFramework]



- Enregistre ce fichier dans : Bureau
- Nom du fichier : fix.reg
- Type : tous les fichiers !!
- Clique sur Enregistrer
- Quitte le Bloc-notes

Utilisation du fichier : fix.reg :
Double-clique sur le fichier (Bureau) / Accepte l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / valide le message disant que la fusion est terminée.

Setz · Answer

ces fait

Destrio5 · Answer

Poste un nouveau rapport HijackThis.

Setz · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:52:39, on 2008-10-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1210628943500
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Destrio5 · Answer

Je viens seulement de remarquer que tu me donnes le même rapport depuis tout à l'heure.

Il me faut un NOUVEAU rapport pour pouvoir comparer.

Setz · Answer

heumm.cest un nouveau.apres ton dernier post jai refait un scan comme tu me la demander et voila.ce nest pas le meme scan mais le meme resultat

Destrio5 · Answer

Pardon, je me fiais à l'heure car chez moi, il est 9h.

Redémarre ton PC et poste un nouveau rapport HijackThis.

Setz · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:02:47, on 2008-10-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.update.microsoft.com/windowsupdate/v6/default.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://www.catalog.update.microsoft.com/ClientControl/en/x86/MuCatalogWebControl.cab?1210628943500
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-CA/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

Destrio5 · Answer

La ligne est toujours là mais bon, ça ne fait rien.

Pour finir :

---> Télécharge CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.ccleaner.com/ccleaner/download

---> Lance-le. Va dans "Options" puis "Avancé", tu décoches la case "Effacer uniquement les fichiers etc...". Tu vas dans "Nettoyeur", tu fais "Analyse". Une fois terminé, tu lances le nettoyage. Puis tu vas dans "Registre", tu fais "Chercher des erreurs". Une fois terminé, tu répares toutes les erreurs sans sauvegarder la base de registre.

---> Télécharge Tools Cleaner sur ton bureau.
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
Clique sur Recherche et laisse le scan agir.
Clique sur Suppression pour finaliser. 
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport. 
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

---> Tiens à jour Windows

Setz · Answer

tool cleaner marche pas je start un scan mais apres 4 seconde le programme ne repond plus

Setz · Answer

non laisse jai rien dit sa marche

Setz · Answer

[ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Tomy\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Tomy\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Tomy\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Tomy\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Tomy\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Tomy\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Tomy\Bureau\SmitFraudFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Tomy\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Destrio5 · Answer

Tu peux supprimer Tools Cleaner et ComboFix.

Setz · Answer

yay donc je supose quon a regler mon probleme.alors je te remercie de la qualiter et de la vitesse de ton service

Destrio5 · Answer

Des questions ?

Setz · Answer

pas pour linstent non..mais lordi de mon ami aussi est infecter..je vais lui conseiller de venir ici..merci encore de ton aide..bon jmen vais me coucher il est 3:30 a.m. cher moi lol  bonne nuit

Destrio5 · Answer

Bonne nuit ;)

Infection,trojan spyware virus

59 réponses

Votre réponse

Discussions similaires

Newsletters