virus antispywareXP 2009

Question

Bonjour, 

mon ordinateur vient de redémarrer alors que je ne le lui avais pas demandé, et au redémarrage, j'ai une fenêtre qui n'arrête pas de s'ouvrir en bas à droite de mon écran et qui dit : 
"Your computer is infected. 
Windows has detected spyware infection! 
It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up to date antispyware for you. 
Click here to protect your computer from spyware!" 
et quand je clique sur la croix blanche sur fond cercle rouge d'où provient la bulle d'information, une fenêtre "antispywareXP 2009 s'ouvre. 

Je pense que c'est un virus. Comment m'en débarasser ? 

Merci d'avance pour votre réponse rapide, car je suis inquiété et ne sais pas trop quoi faire, et les popups sans arrêt m'empêchent de travailler. 

PS: je n'ai pas téléchargé de hijackthis car peut-être y a-t-il une méthode simple et systématique pour se débarasser de ce virus qui doit être très connu par des experts comme vous. J'attends votre aide désespérement avec impatience.

sKe69 · Answer

Salut,


infectépar un "rougue" ( faux logiciel ) .... fais cecei pour commencer :

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

1- Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " . 

tuto pour utilisation :
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

2- !! Déconnectes toi et fermes toute tes applications en cours !! 

Cliques sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

hollymc · Answer

Il semblerait (?) que le virus m'empêche d'ouvrir hijackthis (c'est possible ça?).
Quand j'appuie sur le raccourci (qui a l'emplacement que tu as décris), rien ne se passe. Le processus n'apparait pas dans le gestionnaire des taches de windows.

sKe69 · Answer

effectivement , c'est possible ... 

supprime hijackthis et reprends le téléchargement en cliquand droit sur le lien et 
choisis "enregistrer la cible sous ..." 

tu l'enregistres sur le bureau et lances l'installe comme indiqué ....


postes moi le rapport demandé et attends la suite ...

hollymc · Answer

J'ai réussi à l'installer. Mais je n'arrive pas à l'exécuter...

sKe69 · Answer

Alors ?

hollymc · Answer

Je suis désolé, mais j'y arrive pas :(. Alors ou bien je suis con, ou bien le virus m'empêche de faire ce que tu me demandes :(.
Que dois-je faire exactement ?
Dans l'état actuel des choses, j'ai sur le bureau le programme d'installation, nommé HJTInstall.exe, et une icone Hijackthis, qui va vers l'endroit dont tu as parlé "C:\Program Files\Trend Micro\HijackThis\HijackThis.exe".
Voici ce que j'ai fait : Pour le supprimer, j'ai été dans le panneau de configuration, mais il n'est ni à "Hijack", ni à TrendMicro. J'ai donc simplement supprimé le dossier "C:\Program Files\Trend Micro", et les deux éléments présents sur le bureau (icone et .exe de l'installation) puis j'ai cliquer droit sur le lien ftp, et enregistrer sous, j'ai reçu une erreur "la session ftp a été interrompue". J'ai cliqué droit sur le deuxième lien, fait enregistrer sous, cette fois ça a marché, j'ai enregistré sur le bureau, j'ai fermé la boite de telechargement, j'ai cliqué sur le .exe du bureau pour l'installation, j'ai accepté "voulez-vous executer ce fichier", j'ai cliqué sur install dans l'emplacement par defaut. A ce moment la, la fenetre se ferme, une icone est apparue sur le bureau, mais le programme ne s'est pas ouvert tout seul comme tu le disais. Quand je clique sur l'icone, rien ne se passe.
Help.

sKe69 · Answer

Supprimes ce dossier ainsi que son tout son contenu :

C:\Program Files\Trend Micro



Puis reprends exactement comme ceci :


Télécharges et instales le logiciel HijackThis : 
 
ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Important :
1-Faire un click droit sur un des liens ci-dessus et choisir "enregistrer la cible sous ... " 
Dans cette fenêtre renommes Hijackthis en "thejack" et valides .

Double-cliquer sur "thejack.exe" pour lancer l'installe . 
Laisses toi guider et installes le à l'endroit par défaut ( "C:\program files\" ) .
A la fin de l'installation, le prg ce lance : fermes le en cliquant sur la croix rouge .
Note : tu dois avoir au final un raccourci sur ton bureau et aussi un cheminement comme : "C:\ program files\Trend Micro\HijackThis\HijackThis.exe ".
->Supprimes le raccourci qui est sur ton bureau !


2-Important :
Renommer le prg HijackThis (pour contrer une éventuelle infection Vundo): 
Rends toi sur ton PC ici "C:\ program files\Trend Micro\HijackThis\HijackThis.exe"<---cliques droit sur ce dernier et choisis "renommer" : tapes monjack et valides .
Puis cliques droit sur "monjack.exe" et choisis "envoyer vers" -> le bureau ( créer un raccourci ). 

tuto pour utilisation 
Regardes ici, c'est parfaitement expliqué en images (merci balltrap34) :
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixes encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement ) 

3-!! Déconnectes toi et fermes toute tes applications en cours !!

Cliques sur le raccourci du bureau pour lancer le prg :
fais un scan "monjack" (ou HijackThis renommé) en cliquant sur : "Do a system scan and save a logfile" 

---> Postes le rapport généré pour analyse ...

hollymc · Answer

J'ai fait tout ce que tu m'as demandé. Néanmoins :
- Après l'avoir installé, il ne s'ouvre pas automatiquement comme tu le dis.
- Après avoir renommé le logiciel et après avoir créé un raccourci, le raccourci ne marche toujours pas.

sKe69 · Answer

grrrrr ....,

j'aime pas bosser à l'aveuglette ....

Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installes le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!


Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm
 
Utilisation ---> option 1 / Recherche : 
Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.
 
Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

hollymc · Answer

ok cette fois ça a marché. Je suis désolé, j'essaye de faire tout ce que tu me demandes, le plus rapidement possible. Merci pour l'aide que tu m'apportes.
Voici le rapport :

SmitFraudFix v2.368

Rapport fait à 11:27:07,95, 29/10/2008
Executé à partir de C:\Documents and Settings\Hollymc\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\karna.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\brastk.exe PRESENT !
C:\WINDOWS\system32\karna.dat PRESENT !
C:\WINDOWS\system32\_scui.cpl PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hollymc


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hollymc\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Hollymc\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="karna.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK

C:\WINDOWS\system32\drivers\beep.sys infecté !


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

la suite :


Suite de la manipe ( nettoyage ), fais exactement ce qui suit : 

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
* Double-cliques sur SmitfraudFix.exe 

* Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection. 

--> Si besion :

* A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection. 

( Le correctif déterminera si le fichier wininet.dll est infecté.)
 
* A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée 
pour remplacer le fichier corrompu. 

* Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage ( sinon fais le manuellement ) 

Le rapport se trouve à la racine de C\: 
(dans le fichier "rapport.txt") 

Postes moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport 
hijackthis si possible ( fais en mode normal ) et attends les instructions ...

hollymc · Answer

Je suis vraiment désolé, mais ça fait 24 minutes que je n'arrête pas d'essayer de redémarrer, de tapoter sur F5, F8, et même sur d'autres touches fonctions, je n'arrive pas à redémarrer en mode sans échec.
N'y a-t-il pas un autre moyen pour redémarrer en mode sans échec ?

sKe69 · Answer

décidement .... -_-

fait la manipe en mode normal alors .... on avisera ensuite ....

hollymc · Answer

J'ai fait la manip en mode normal. La manip a fait un redémarrage d'elle meme. Le virus est toujours la.
Voici le rapport :

SmitFraudFix v2.368

Rapport fait à 12:07:26,32, 29/10/2008
Executé à partir de C:\Documents and Settings\Hollymc\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\karna.dat supprimé
Problème suppression C:\WINDOWS\system32\brastk.exe
C:\WINDOWS\system32\_scui.cpl supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\brastk.exe supprimé 
C:\WINDOWS\system32\karna.dat Redemarrez et Executez SmitfraudFix option 2 encore une fois SVP.
 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

Bien ... 

il faut relancer la manipe Smithfraudfix option 2 pour finir la suppression ...


postes moi le nouveau rapport obtenu et essayes de me poster un rapport hijackthis ensuite ....

hollymc · Answer

Il y a peut-être deux choses que je devrais préciser :
- la question "corriger le fichier infecté" ne m'a pas été posée (mais l'autre question si)
- une fenêtre de windows s'est ouverte pendant la décontamination. C'etait une fenetre qui me proposait, si je me souviens bien, de compresser les fichiers non utilisés de mon pc (pour gagner de la place)

sKe69 · Answer

fais ce que je t'ai demandé et ignore la fenêtre de windows ....

hollymc · Answer

J'ai fait l'option 2 de nouveau. La fenetre de windows 'nettoyage de disque' est encore apparue. J'ai du la fermer en cliquant sur 'annuler', car sinon je ne pouvais pas utiliser la fenetre cmd sur laquelle tourne smitfraudfix.
Le virus semble etre toujours la.

Voici le nouveau rapport :

SmitFraudFix v2.368

Rapport fait à 12:24:19,93, 29/10/2008
Executé à partir de C:\Documents and Settings\Hollymc\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\system32\Delete_Me_Dummy_karna.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{B20173FF-499E-4E12-AEE4-8C26DFCCA676}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

Oui , c'est loin d'être finit ...


ré-essayes hijackthis stp ...

hollymc · Answer

Hijackthis marche maintenant.
Voici un log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:29:38, on 29/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AntiSpywareXP2009\antispywarexp2009.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS
otepad.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AntiSpywareXP 2009] "C:\Program Files\AntiSpywareXP2009\antispywarexp2009.exe" /hide
O4 - HKLM\..\Run: [brastk] brastk.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

up ! message ne passe pas ... :/


encore des bugs ...


fais ceci :

1- Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "francais" en langue . 
-avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières. 


Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation:
! déconnectes toi et fermes toutes applications en cours !
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


2- pour réparer le mode sans échec :
Télécharges ceci :

http://sd-1.archive-host.com/membres/up/116615172019703188/SP3.rar


->Decompresses l' archive ( = extraire tout ) sur ton bureau .

!!Déconnectes toi et fermes toute tes applications en cours !!

-> double-cliques sur SP3.reg que tu viens d'extraire sur ton bureau .

=> tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui"  


3- Télécharges MalwareByte's : 
ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
ou ici : http://www.malwarebytes.org/mbam.php
 
Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Potasses le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
https://www.androidworld.fr/ 
( cela dis, il est très simple d'utilisation ).

Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances Malwarebyte's .

Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! )  et supprimes tout ce qu'il peut trouver, c'est à dire :
-->Laisses le scan se terminer,puis à la fin tu cliques sur "résultat" . 
-->Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

Redémarres ton PC ( mode normal ). 

Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis ( fait en mode normal ) ...

hollymc · Answer

J'ai répondu... fais attention il y a deux pages de sujet.

hollymc · Answer

Avant de faire quoi que ce soit de ton message précédent, j'ai une question :

j'ai déjà Ccleaner et MalwareByte sur mon ordinateur depuis quelques temps. Que veux-tu que je fasse :
1- Je les supprime et je les réinstalle comme tu l'as demandé
2- Je les utilise tels quels (sachant qu'ils n'ont peut-être pas été installés tels que tu le veux).

hollymc · Answer

Alors ?

sKe69 · Answer

Pour CCleaner , utilises celui que tu as et comme je te l'indique ...

pour malwarebytes , il faut le mettre à jours ( si ce n'est pas déjà fais ) , puis tu l'utilises comme je l'ai indiqué aussi  ^^


pas de réinstalle bien sûr ...

Hollymc · Answer

Ok.
Sinon, pour le mode sans echec, le .reg, je l'ouvre avec quoi ? (quand je fais clique droit, fusionner, il m'ouvre la fenetre "ouvrir avec".

Hollymc · Answer

J'ai déjà extrait le zip avec winrar.
Je suis en présence d'un fichier dont l'extension est .reg. Si je double clique dessus, il m'ouvre la fenetre "ouvrir avec". Que dois-je faire pour executer le .reg ?

Hollymc · Answer

Le virus est toujours là (mais comment pourrait-on le supprimer alors qu'il est en cours d'exécution ? Il faudra bien passer par le mode sans échec à un moment donné...). Voici le rapport : 

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1335
Windows 5.1.2600 Service Pack 3

29/10/2008 14:44:17
mbam-log-2008-10-29 (14-44-17).txt

Type de recherche: Examen complet (C:\|F:\|H:\|I:\|)
Eléments examinés: 169803
Temps écoulé: 43 minute(s), 54 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 17

Processus mémoire infecté(s):
C:\Program Files\AntiSpywareXP2009\antispywarexp2009.exe (Rogue.AntispywareXP) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\Program Files\AntiSpywareXP2009\AVEngn.dll (Rogue.AntispywareXP) -> Delete on reboot.
C:\Program Files\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Delete on reboot.
C:\Program Files\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7c109800-a5d5-438f-9640-18d17e168b88} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{db9fba9d-ab1b-4cc6-9745-f3b549d64e40} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{74f7db6b-86e9-4b91-9d9f-b0d954d7aa5b} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: (regedit.exe"%1" %*) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\AntiSpywareXP2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\data (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\WinZix (Trojan.Lop) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.cfg (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\AntiSpywareXP2009.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\AVEngn.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\htmlayout.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\pthreadVC2.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Uninstall.exe (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\wscui.cpl (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\data\daily.cvd (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcm80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcp80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareXP2009\Microsoft.VC80.CRT\msvcr80.dll (Rogue.AntispywareXP) -> Quarantined and deleted successfully.
C:\Documents and Settings\Hollymc\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10736.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Hollymc\Bureau\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.

Hollymc · Answer

Et voici le rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:54, on 29/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hollymc · Answer

Remarque importante : maintenant, quand je clique sur fusionner le .reg, il me propose d'ajouter les modifs au registre. J'accepte, et je reessaye le mode sans echec ?
(j'attends tes nouvelles instructions).

Hollymc · Answer

J'ai édité la base de registre, mais F8 ne marche toujours pas (j'ai essayé F5 aussi, les deux, avec ou sans "Verr. F")

sKe69 · Answer

on va changer de stratégie ...


1- Supprimes tout ce qui se trouve dans la quarantaine de Malwarebytes .


2- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .
 
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif . 

Conseil : laisses ces paramètres par la suite ...


3- refais un coup de CCleaner (registre compris ) et redémarres ton PC ! 



4- Fais exactement ce qui suit :

Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !): 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe : 
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après  !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-cliques sur l'icône "combofix.exe" pour lancer l'outil . 

Appuyes sur la touche Y (Yes) pour démarrer le scan . 

Notes importantes : 
-> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment  : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... ) 

Le rapport sera crée dans: C:\Combofix.txt 
 
Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...

Hollymc · Answer

J'ai supprimé tout ce qui se trouve dans la quarantaine de Malwarebytes . J'ai désactivé le redémarrage automatique. J'ai refait un coup de CCleaner. Lors du redémarrage du PC, j'ai reçu un écran bleu qui disait en gros ceci : <<>> C'est normal ? Je n'ose pas aller plus loin avant ton consentement, je ne veux courir aucun risque pour mes fichiers et autres...

sKe69 · Answer

Alors ? ...

Hollymc · Answer

Voici le rapport Combofix : ComboFix 08-10-29.07 - Mulder 2008-10-29 19:54:23.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1662 [GMT 1:00] Lancé depuis: C:\Documents and Settings\Hollymc\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Hollymc\Cookies\abeforyqe.dl C:\Documents and Settings\Hollymc\Cookies\bomilam.dll C:\Documents and Settings\Hollymc\Cookies\homupanona.sys C:\Documents and Settings\Hollymc\Cookies\kimej.db C:\Documents and Settings\Hollymc\Cookies\lyhi.reg C:\Documents and Settings\Hollymc\Cookies\opiw._dl C:\Documents and Settings\Hollymc\Cookies\ozoce.db C:\Documents and Settings\Hollymc\Cookies\qikir.ban C:\Documents and Settings\Hollymc\Cookies ybemelo.bin C:\Documents and Settings\Hollymc\Cookies\ufacom.reg C:\Documents and Settings\Hollymc\Cookies\ujumyly.com C:\Documents and Settings\Hollymc\Cookies\vamyj.db C:\Documents and Settings\Hollymc\Cookies\yxigariby.dat C:\Documents and Settings\Hollymc\Menu Démarrer\Programmes\AntiSpywareXP2009 C:\Documents and Settings\Hollymc\Menu Démarrer\Programmes\AntiSpywareXP2009\AntiSpywareXP2009.lnk C:\Documents and Settings\Hollymc\Menu Démarrer\Programmes\AntiSpywareXP2009\Uninstall.lnk . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-29 )))))))))))))))))))))))))))))))))))) . 2016-04-10 07:09 . 2016-04-10 07:09 d-------- C:\Documents and Settings\Hollymc\Application Data\InterVideo 2016-04-10 07:08 . 2016-04-10 07:08 d-------- C:\Program Files\Fichiers communs\Ulead 2016-04-10 07:08 . 2006-05-11 17:41 654 --------- C:\WINDOWS emove.iss 2014-02-22 00:06 . 2014-02-22 00:06 d-------- C:\Program Files\MSBuild 2014-02-22 00:06 . 2014-02-22 00:06 d-------- C:\Program Files\Microsoft Works 2014-02-22 00:02 . 2008-06-10 07:53 d-------- C:\WINDOWS\SHELLNEW 2014-02-22 00:01 . 2014-02-22 00:01 dr-h----- C:\MSOCache 2008-10-29 13:44 . 2008-10-29 13:44 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-29 13:44 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-29 13:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-29 13:27 . 2008-10-29 13:27 d-------- C:\Program Files\CCleaner 2008-10-29 11:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-29 11:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-29 11:26 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-10-29 11:26 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe 2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe 2008-10-29 11:26 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-10-29 11:26 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-10-29 11:26 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-29 11:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-29 11:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-29 11:08 . 2008-10-29 11:08 d-------- C:\Program Files\Trend Micro 2008-10-29 10:33 . 2008-10-29 10:33 19,141 --a------ C:\Documents and Settings\Hollymc\Application Data\acot.dat 2008-10-29 10:33 . 2008-10-29 10:33 17,974 --a------ C:\WINDOWS\system32\pypozav.pif 2008-10-29 10:33 . 2008-10-29 10:33 17,014 --a------ C:\WINDOWS\system32\pymixigyto.scr 2008-10-29 10:33 . 2008-10-29 10:33 16,152 --a------ C:\WINDOWS\system32\ubob._dl 2008-10-29 10:33 . 2008-10-29 10:33 15,263 --a------ C:\WINDOWS\eluqa.ban 2008-10-29 10:33 . 2008-10-29 10:33 14,472 --a------ C:\WINDOWS\xizagipo.db 2008-10-29 10:33 . 2008-10-29 10:33 14,393 --a------ C:\WINDOWS\axaraz.dat 2008-10-29 10:33 . 2008-10-29 10:33 14,264 --a------ C:\Documents and Settings\Hollymc\Application Data ezoqo.sys 2008-10-29 10:33 . 2008-10-29 10:33 12,860 --a------ C:\WINDOWS\system32\golytu._sy 2008-10-29 10:33 . 2008-10-29 10:33 11,366 --a------ C:\WINDOWS\oqiqoroc.dl 2008-10-29 10:33 . 2008-10-29 10:33 11,133 --a------ C:\WINDOWS\xefemiqu.vbs 2008-10-29 10:33 . 2008-10-29 10:33 10,965 --a------ C:\WINDOWS\anoweqebuh.dl 2008-10-29 10:33 . 2008-10-29 10:33 10,913 --a------ C:\WINDOWS\pijuhenaqe.lib 2008-10-29 10:33 . 2008-10-29 10:33 10,046 --a------ C:\WINDOWS\system32\ysajehikin.sys 2008-10-28 23:34 . 2008-10-28 23:34 19,619 --a------ C:\WINDOWS\ahixaz.ban 2008-10-28 23:34 . 2008-10-28 23:34 18,635 --a------ C:\WINDOWS\cecit.dll 2008-10-28 23:34 . 2008-10-28 23:34 16,774 --a------ C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin 2008-10-28 23:34 . 2008-10-28 23:34 16,543 --a------ C:\Documents and Settings\All Users\Application Data\ijihad.exe 2008-10-28 23:34 . 2008-10-28 23:34 14,904 --a------ C:\WINDOWS\imefyhizi._dl 2008-10-28 23:34 . 2008-10-28 23:34 13,552 --a------ C:\Documents and Settings\All Users\Application Data ezigo.vbs 2008-10-28 23:34 . 2008-10-28 23:34 12,659 --a------ C:\WINDOWS\system32\zukydor.pif 2008-10-28 23:34 . 2008-10-28 23:34 12,481 --a------ C:\Documents and Settings\All Users\Application Data\gofojit.dat 2008-10-28 23:34 . 2008-10-28 23:34 12,009 --a------ C:\Documents and Settings\Hollymc\Application Data\orywo.vbs 2008-10-28 23:34 . 2008-10-28 23:34 11,675 --a------ C:\WINDOWS ydedymuz.lib 2008-10-28 23:34 . 2008-10-28 23:34 10,093 --a------ C:\WINDOWS\system32\inupa.vbs 2008-10-28 21:07 . 2008-10-28 21:07 18,645 --a------ C:\WINDOWS\system32\akakoqoqy.lib 2008-10-28 21:07 . 2008-10-28 21:07 17,947 --a------ C:\WINDOWS\gejoxycy.pif 2008-10-28 21:07 . 2008-10-28 21:07 16,074 --a------ C:\Program Files\Fichiers communs\idebe.sys 2008-10-28 21:07 . 2008-10-28 21:07 15,894 --a------ C:\WINDOWS\system32\ydehax.pif 2008-10-28 21:07 . 2008-10-28 21:07 15,789 --a------ C:\Documents and Settings\All Users\Application Data\mozeh.dat 2008-10-28 21:07 . 2008-10-28 21:07 13,404 --a------ C:\Program Files\Fichiers communs\baxodape.reg 2008-10-28 21:07 . 2008-10-28 21:07 13,092 --a------ C:\WINDOWS\yqeky.sys 2008-10-28 21:07 . 2008-10-28 21:07 12,807 --a------ C:\WINDOWS\system32\jiripewig.dll 2008-10-28 21:07 . 2008-10-28 21:07 12,424 --a------ C:\WINDOWS\vygeqimewe.vbs 2008-10-28 21:07 . 2008-10-28 21:07 12,215 --a------ C:\WINDOWS\qyvigoli.exe 2008-10-28 21:07 . 2008-10-28 21:07 11,441 --a------ C:\Documents and Settings\All Users\Application Data\vaniv.dll 2008-10-28 21:07 . 2008-10-28 21:07 10,467 --a------ C:\Program Files\Fichiers communs eqy.exe 2008-10-23 18:14 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache etapi32.dll 2008-10-15 12:27 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-15 12:27 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-15 12:26 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2008-10-09 05:37 . 2008-10-09 05:37 d-------- C:\watcom-1.3 2008-10-09 05:37 . 2008-10-09 05:37 212,992 --a------ C:\WINDOWS\system32\WMIMPLEX.dll 2008-10-09 05:35 . 2008-10-09 05:37 d--h----- C:\Program Files\Zero G Registry 2008-10-09 05:32 . 2008-10-09 05:32 d--h----- C:\Documents and Settings\Hollymc\InstallAnywhere . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-29 18:57 21,817,440 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-10-29 15:49 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\MiniLyrics 2008-10-29 15:00 3,006,976 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2008-10-29 15:00 1,594,368 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2008-10-29 14:58 256,940 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-10-29 14:37 1,593,344 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-10-29 09:33 19,090 ----a-w C:\Program Files\Fichiers communs\pegafavu.inf 2008-10-29 09:33 18,349 ----a-w C:\Program Files\Fichiers communs\voguqoka.inf 2008-10-29 09:33 18,066 ----a-w C:\Program Files\Fichiers communs\ixejyme.db 2008-10-29 09:33 17,968 ----a-w C:\Program Files\Fichiers communs\pyfahejaz.lib 2008-10-29 09:33 10,509 ----a-w C:\Program Files\Fichiers communs\gomuwifeha.ban 2008-10-28 22:34 16,614 ----a-w C:\Program Files\Fichiers communs\ohimefakyj.db 2008-10-28 20:07 18,271 ----a-w C:\Program Files\Fichiers communs\yjomidub.lib 2008-10-28 20:07 18,100 ----a-w C:\Program Files\Fichiers communs\xiziwejo._sy 2008-10-26 12:26 --------- d-----w C:\Program Files\DivX 2008-10-24 14:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-10-18 18:30 3,532 ----a-w C:\drmHeader.bin 2008-10-17 01:32 --------- d-----w C:\Program Files\IsoBuster 2008-10-17 01:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-19 21:55 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll 2008-09-19 21:55 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll 2008-09-18 05:24 --------- d-----w C:\Program Files\Zone Labs 2008-09-16 19:03 --------- d-----w C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-09-16 17:56 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\Anonymizer 2008-09-16 17:55 --------- d-----w C:\Program Files\Anonymizer 2008-09-16 17:55 --------- d-----w C:\Documents and Settings\All Users\Application Data\Anonymizer 2008-09-16 00:14 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe 2008-09-16 00:14 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-09-16 00:12 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll 2008-09-16 00:12 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll 2008-09-16 00:12 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll 2008-09-16 00:12 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll 2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll 2008-09-16 00:12 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll 2008-09-16 00:12 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll 2008-09-16 00:11 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll 2008-09-16 00:11 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll 2008-09-16 00:11 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll 2008-09-16 00:11 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll 2008-09-16 00:11 683,520 ----a-w C:\WINDOWS\system32\DivX.dll 2008-09-16 00:11 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-09-16 00:11 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll 2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-09-06 10:46 --------- d-----w C:\Program Files\FlashGet 2008-09-06 10:39 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\.gaim 2008-09-02 05:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-09-01 20:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec 2008-09-01 19:38 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\PCToolsFirewallPlus 2008-09-01 19:08 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\AdobeUM 2008-09-01 19:05 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-20 05:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32 toskrnl.exe 2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32 tkrnlpa.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-13 7557120] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] C:\Documents and Settings\Hollymc\Menu D‚marrer\Programmes\D‚marrage\ [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PlexTools Professional.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PlexTools Professional.lnk backup=C:\WINDOWS\pss\PlexTools Professional.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaCie Hard Drive Configuration] --a------ 2007-01-23 15:56 3620864 C:\Program Files\LaCie\SAFE Hard Drive\SAFE Hard Drive Configuration.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2006-02-13 20:05 7557120 C:\WINDOWS\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-02-13 20:05 86016 C:\WINDOWS\system32 vmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2006-10-12 03:10 49263 C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2007-12-19 16:31 3477504 C:\Program Files\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2006-02-13 20:05 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2006-05-27 03:47 16208384 C:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TapiSrv"=3 (0x3) "NinjaVideo Helper.exe"=2 (0x2) "LiveUpdate"=3 (0x3) "LaCie Safe Hard Drive Enabler"=2 (0x2) "Automatic LiveUpdate Scheduler"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R2 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [2000-02-22 9152] S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [ ] S3 PortTalk;PortTalk;C:\WINDOWS\system32\Drivers\PortTalk.sys [2002-01-12 3567] . - - - - ORPHELINS SUPPRIMES - - - - MSConfigStartUp-QuickTime Task - C:\Program Files\QuickTime\qttask.exe MSConfigStartUp-ThePrivacyGuard - C:\Program Files\The Privacy Guard\ThePrivacyGuard.exe . ------- Examen supplémentaire ------- . FireFox -: Profile - C:\Documents and Settings\Hollymc\Application Data\Mozilla\Firefox\Profiles\b3yx16j9.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/ FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser ppdf32.dll FF -: plugin - C:\Program Files\DivX\DivX Content Uploader pUpload.dll FF -: plugin - C:\Program Files\Veoh Networks\Veoh\Plugins oreg\NPVeohVersion.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-29 19:56:27 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-10-29 19:58:02 ComboFix-quarantined-files.txt 2008-10-29 18:57:45 Avant-CF: 15 675 473 920 octets libres Après-CF: 15,678,943,232 octets libres 257 --- E O F --- 2008-10-24 01:00:51

Hollymc · Answer

Et voici le rapport HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:44, on 29/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

Salut,


très interessant .... J'aimerai faire quelques vérifs et faire quelques remonter pour faire avancé le prb au près de certaines personnes spécialisée dans le domaine de la désinfections ( créateurs d'outils et autres experts ) car ton cas est nouveau apparemment .... ^^


si cela ne te pose pas de prb bien sur .... 


Ne touches plus au PC et ne l'éteint pas ! je te tiens au courant rapidement de la suite des opérations ...

sKe69 · Answer

Bien ...

on va vérifier quelques fichiers :


1- Avoir accès aux fichiers cachés :
 
Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valides la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 


2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche : 
C:\WINDOWS\system32\ubob._dl 

Cliques sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copies le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )


Fais de même pour :
C:\WINDOWS\axaraz.dat 
C:\Documents and Settings\Hollymc\Application Data
ezoqo.sys 
C:\WINDOWS\xefemiqu.vbs 
C:\Documents and Settings\All Users\Application Data\ijihad.exe 
C:\Documents and Settings\All Users\Application Data\gofojit.dat
C:\Program Files\Fichiers communs\idebe.sys 
C:\WINDOWS\qyvigoli.exe 
C:\Program Files\Fichiers communs\voguqoka.inf 
C:\Program Files\Fichiers communs\yjomidub.lib 

postes moi donc ces 10 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Hollymc · Answer

"Sauvegarde le rapport avec le bloc-note."
Qu'entends-tu par là ?
Un copier coller ?
Le coller n'affiche pas l'équivalent du copier. Je pense que ça viens de la façon dont a été programmé la page.
Exemple (car c'est peut-être pas clair) :
Je fais un ctrl+c d'un rectangle contenant du texte.
Le texte est (ce qui suit a été copié à la main) :
Fichier ubob._dl reçu le 2008.10.29 20:59:51 (CET)
Situation actuelle: Terminé
Résultat : Résultat: 0/34 (0%)

Mais, quand je fais ctrl+v, j'obtiens :

Fichier ubob._dl reçu le 2008.10.29 20:59:51 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/34 (0%)

Hollymc · Answer

Dans l'attente de la réponse au message précédent, voici le premier fichier :


AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6179 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3566 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.28 - 
Information additionnelle 
File size: 16152 bytes 
MD5...: b10461b260b6eb34fc43a29b2aa98ff7 
SHA1..: 4bb82ab6ba32e9cf59ec64f2bd949659b92ec8d9 
SHA256: a9021d4564b0630f61556e07a5ed056c28cc887997ff88d8bd13e5ccfc964379 
SHA512: 560028879e32c59271da4bb8a81dcc866594ff9a803921c71803077d3dda53ec
a282eaac7c25735e3e445e0d43af15eeff0e52b45e3be245edcebf654648c737 
PEiD..: - 
TrID..: File type identification
MPEG Video (100.0%) 
PEInfo: -

Hollymc · Answer

Le second :

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.28 - 
Information additionnelle 
File size: 14393 bytes 
MD5...: 9024c8aac4b7fb62e4a2d9875e7deb68 
SHA1..: a6f0aef01564347469199e59673409e9fe08f787 
SHA256: aad14a0df674f91e9480fa3f29f4bcce931a0a4705ee1b885dc1a9b34768f91d 
SHA512: ed08f6a6534016c43f2186ef4eed57a03427aff569da05f72279ddba0c1c3bce
b3f9c2dcc83d450862abebe0d010abc3d0cd80b82737f444503ec95def81a0c7 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

nezoqo.sys_
Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.28 - 
Information additionnelle 
File size: 14264 bytes 
MD5...: 2306a5e6fb16a885b19138eefe9165ed 
SHA1..: a2af9bfc679c2c613abb7f177b9418cba0e50e21 
SHA256: 87da7f7d1a9879802d5554780bfcdd4b004190ff4b1b4f0ad8f03dfb02b7bc95 
SHA512: b425589ccf94d2a57fa9b10162135912aade6000b206c1cc63d053adcd85746e
2f5f1ba179ec84bca8d27fd7976a25c2f22d744b8b80615bac44231fb3284950 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

C:\WINDOWS\xefemiqu.vbs 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.28 - 
Information additionnelle 
File size: 11133 bytes 
MD5...: f5508dc8a6df4076b6c7c061e77d4d5d 
SHA1..: 44d678299516874014e71ad4f1b26cafc97c8298 
SHA256: 578848c4ce98100585287a39d8ccb4530e239ef30e7f5d7c7baf78d5afa154be 
SHA512: 328814e6cdb158bef4a475f27bbb34e705fa49d7c17cff2bab4f54a106e3920a
c18e614e8a9d1d378740e6291fa4697f8c9be84b32c2097a89af8447addbf596 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

C:\Documents and Settings\All Users\Application Data\ijihad.exe 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.28 - 
Information additionnelle 
File size: 16543 bytes 
MD5...: 6596d343d9dc7dc83754aaf6edef0e1e 
SHA1..: 77ef83b66d36ae02020536c1e72f8fd4b64e0321 
SHA256: a708eb05f700a1961fdc8d6a89cd39e5bc33d8b093cd11ed51535e5c0c339821 
SHA512: e0b9d17d795eea0de7965c4aaa1394fc4b5100bfde678a87452d1ae2f575e7c7
f13f4f92eb47485beeb0cb6c4a9d3de713d44d2bc12942e7db74a57799af813f 
PEiD..: - 
TrID..: File type identification
MPEG Video (100.0%) 
PEInfo: -

Hollymc · Answer

(en attendant que les analyses se terminent, une question : c'est grave si "combofix has detected that this machine doesnt have the 'windows recovery console' " ?)

Hollymc · Answer

C:\Documents and Settings\All Users\Application Data\gofojit.dat 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.29 - 
Information additionnelle 
File size: 12481 bytes 
MD5...: bb92eb7542f0bdd038b4292310886e60 
SHA1..: d8e849abc43ba7ccb12dc6108fab53ab997d7788 
SHA256: 447275be8591b0d51637af75179326a5827e2070c94004859faba03814027ddd 
SHA512: 671c341b9bc38c6da87f0321ee2f14c246b46e6eb2beec1fb10942cb7289d6f1
dc0b4ba46c352e8ed36853c4a61e50478bfcdb6a1d45321ff352bc4c971420d2 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

C:\Program Files\Fichiers communs\idebe.sys 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.29 - 
Information additionnelle 
File size: 16074 bytes 
MD5...: a2fdbe8f89f9cf8ff337c317c84ca918 
SHA1..: 7ec050afe75982bd4db90d97cb7ca234ec4857e3 
SHA256: f1c6f0d52b68812df950fa708cffc05085218e903e840535e3a5e022c145a1f2 
SHA512: 271f067d964640688edbac1c865340cf52257250fd8696de4bb146378b99e847
f4ae558fabafc8c1540f654639c6d92c2c2194a9b4ef15f56875ba6a197b0b9e 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

C:\WINDOWS\qyvigoli.exe 

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.29 - 
Information additionnelle 
File size: 12215 bytes 
MD5...: 74b29008b835d215dbbd398320f7067c 
SHA1..: 9dc4058a3ce6b8e67cc432924ceb6ef1ae1e71a0 
SHA256: 90069dfad47ede48e22317e4ba045c23ed731e7e933238e4d0416535163bf0c1 
SHA512: 5c47df7c556bcae5d71093d98cedcd8bc031758f95b1382596325367fc28a5f0
a6f100cef1b2d823faef396b8f56b61a4e42f3bcf1d368ac0376a8a83142f270 
PEiD..: - 
TrID..: File type identification
Unknown! 
PEInfo: -

Hollymc · Answer

C:\Program Files\Fichiers communs\voguqoka.inf 

AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.29 - 
Information additionnelle 
File size: 18349 bytes 
MD5...: 7b4ed22d78f4f63a9449ad076c8f5d48 
SHA1..: df2503fc77f005b795047123f3dc1bd26fb3c4a8 
SHA256: 18fb24516c1f01499d198cfe98570af498860391f569b2990e12628df6058ab2 
SHA512: f55e4418a660d7d6e4a16b7d4ffdc4cd65362a452c415dac902572adb812c688
542ff9900e87bf91e936b1dbae96dd93403832d32f671c471013f05f9a53f5a9 
PEiD..: - 
TrID..: File type identification
BONK lossless/lossy audio compressor (100.0%) 
PEInfo: -

Hollymc · Answer

Voici le dernier fichier : C:\Program Files\Fichiers communs\yjomidub.lib 

AhnLab-V3 2008.10.28.3 2008.10.29 - 
AntiVir 7.9.0.10 2008.10.29 - 
Authentium 5.1.0.4 2008.10.29 - 
Avast 4.8.1248.0 2008.10.29 - 
AVG 8.0.0.161 2008.10.29 - 
BitDefender 7.2 2008.10.29 - 
CAT-QuickHeal 9.50 2008.10.29 - 
ClamAV 0.93.1 2008.10.29 - 
DrWeb 4.44.0.09170 2008.10.29 - 
eSafe 7.0.17.0 2008.10.29 - 
eTrust-Vet 31.6.6180 2008.10.29 - 
Ewido 4.0 2008.10.29 - 
F-Prot 4.4.4.56 2008.10.29 - 
F-Secure 8.0.14332.0 2008.10.29 - 
Fortinet 3.117.0.0 2008.10.28 - 
GData 19 2008.10.29 - 
Ikarus T3.1.1.44.0 2008.10.29 - 
K7AntiVirus 7.10.511 2008.10.29 - 
Kaspersky 7.0.0.125 2008.10.29 - 
McAfee 5417 2008.10.28 - 
Microsoft 1.4005 2008.10.29 - 
NOD32 3567 2008.10.29 - 
Norman 5.80.02 2008.10.29 - 
Panda 9.0.0.4 2008.10.29 - 
PCTools 4.4.2.0 2008.10.29 - 
Prevx1 V2 2008.10.29 - 
Rising 21.01.22.00 2008.10.29 - 
SecureWeb-Gateway 6.7.6 2008.10.29 - 
Sophos 4.35.0 2008.10.29 - 
Sunbelt 3.1.1764.1 2008.10.29 - 
Symantec 10 2008.10.29 - 
TheHacker 6.3.1.1.133 2008.10.28 - 
TrendMicro 8.700.0.1004 2008.10.29 - 
VBA32 3.12.8.8 2008.10.28 - 
ViRobot 2008.10.29.1443 2008.10.29 - 
VirusBuster 4.5.11.0 2008.10.29 - 
Information additionnelle 
File size: 18271 bytes 
MD5...: 63f04e2b093c83aeab5750cd0df87a2d 
SHA1..: 69356316a000f597c87e05a8818a757f7b21c812 
SHA256: c70ece7353ec2737b7c138e129ed2d90150db7f1591a4af0c38632b5ce223460 
SHA512: 49a28777f8124b952a4c562247ac2f6305e2ad7c9f7aeb03fc0bcaebd56e4cc7
6b9f2792dea9473d72261b48c94acbd775e124a991bac4fcabd332c62977fb06 
PEiD..: - 
TrID..: File type identification
MPEG Video (100.0%) 
PEInfo: - 





Aucun fichier ne semble dangereux (mais je ne sais pas à quoi ils correspondent).

J'attends tes prochaines instructions.

sKe69 · Answer

Aucun fichier ne semble dangereux 

c'est bien le prb ... :p

C'est surement du à ton infection malgré tout ... si tu a un momment , j'ais fait part de cette situation à mon entourage et j'attends quelques directives .... 

je te tiens au courant rappidement ... ;)

et ensuite on finit le nettoyage ...

Hollymc · Answer

Dans l'attente des directives de ton entourage, profitons-en pour que je te pose quelques questions :
c'est bien le prb ... :p 
Mais peut-être le virus a-t-il été supprimé ?

Matheux59 · Answer

Bonjour à tous, 
j'ai attrapé hier le super spyware avec la croix rouge à côté de l'horloge comme cette personne: your computer is infected... 
J'ai utilisé SmitFraudFix en supprimant avec l'option 2 en mode sans échec, et même l'option 3 des sites préférés. 
Je pensais être tranquille mais il est revenu aujourd'hui, alors je vous poste le rapport obtenu après la suppression (option 2). 
Je voudrais également vous poser une autre question, est-ce que si je branche un disque dur externe sur l'ordi infecté, il risque d'être infecté si je copie dessus certains fichiers? 
J'attends vraiment votre aide avec impatience! 
Merci à vous! 

SmitFraudFix v2.368 

Rapport fait à 20:18:08,67, 28/10/2008 
Executé à partir de C:\Documents and Settings\CARPENTIER\Bureau\SmitfraudFix 
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT 
Le type du système de fichiers est NTFS 
Fix executé en mode sans echec 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

SrchSTS.exe by S!Ri 
Search SharedTaskScheduler's .dll 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus 


»»»»»»»»»»»»»»»»»»»»»»»» hosts 


127.0.0.1 localhost 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix 

VACFix 
Credits: Malware Analysis & Diagnostic 
Code: S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix 

S!Ri's WS2Fix: LSP not Found. 


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix 

GenericRenosFix by S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés 

C:\WINDOWS\system32\brastk.exe supprimé 
C:\WINDOWS\system32\drivers\svchost.exe supprimé 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix 

IEDFix 
Credits: Malware Analysis & Diagnostic 
Code: S!Ri 



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix 

404Fix 
Credits: Malware Analysis & Diagnostic 
Code: S!Ri 


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix 


»»»»»»»»»»»»»»»»»»»»»»»» RK 


»»»»»»»»»»»»»»»»»»»»»»»» DNS 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AA4B74D8-617F-4151-8E60-F446918E9104}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AA4B74D8-617F-4151-8E60-F446918E9104}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AA4B74D8-617F-4151-8E60-F446918E9104}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1 


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires 


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"System"="" 


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre 

Nettoyage terminé. 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix 
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 

SrchSTS.exe by S!Ri 
Search SharedTaskScheduler's .dll 


»»»»»»»»»»»»»»»»»»»»»»»» Fin

sKe69 · Answer

re,

je suis entrain de te préparer la suite .... encore un peu de patience ... ;)

Hollymc · Answer

Je patiente je patiente...

sKe69 · Answer

Ecoutes , 

personne de dispo .... Donc on continue :



1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
C:\Documents and Settings\Hollymc\Application Data\acot.dat 
C:\WINDOWS\system32\pypozav.pif 
C:\WINDOWS\system32\pymixigyto.scr 
C:\WINDOWS\system32\ubob._dl 
C:\WINDOWS\eluqa.ban 
C:\WINDOWS\xizagipo.db 
C:\WINDOWS\axaraz.dat 
C:\Documents and Settings\Hollymc\Application Data
ezoqo.sys 
C:\WINDOWS\system32\golytu._sy 
C:\WINDOWS\oqiqoroc.dl 
C:\WINDOWS\xefemiqu.vbs 
C:\WINDOWS\anoweqebuh.dl C:\WINDOWS\pijuhenaqe.lib 
C:\WINDOWS\system32\ysajehikin.sys 
C:\WINDOWS\ahixaz.ban 
C:\WINDOWS\cecit.dll 
C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin 
C:\Documents and Settings\All Users\Application Data\ijihad.exe 
C:\WINDOWS\imefyhizi._dl 
C:\Documents and Settings\All Users\Application Data	ezigo.vbs 
C:\WINDOWS\system32\zukydor.pif 
C:\Documents and Settings\All Users\Application Data\gofojit.dat 
C:\Documents and Settings\Hollymc\Application Data\orywo.vbs 
C:\WINDOWS
ydedymuz.lib 
C:\WINDOWS\system32\inupa.vbs 
C:\WINDOWS\system32\akakoqoqy.lib 
C:\WINDOWS\gejoxycy.pif 
C:\Program Files\Fichiers communs\idebe.sys 
C:\WINDOWS\system32\ydehax.pif 
C:\Documents and Settings\All Users\Application Data\mozeh.dat 
C:\Program Files\Fichiers communs\baxodape.reg 
C:\WINDOWS\yqeky.sys 
C:\WINDOWS\system32\jiripewig.dll 
C:\WINDOWS\vygeqimewe.vbs 
C:\WINDOWS\qyvigoli.exe 
C:\Documents and Settings\All Users\Application Data\vaniv.dll 
C:\Program Files\Fichiers communs
eqy.exe
C:\Program Files\Fichiers communs\pegafavu.inf 
C:\Program Files\Fichiers communs\voguqoka.inf 
C:\Program Files\Fichiers communs\ixejyme.db 
C:\Program Files\Fichiers communs\pyfahejaz.lib 
C:\Program Files\Fichiers communs\gomuwifeha.ban 
C:\Program Files\Fichiers communs\ohimefakyj.db 
C:\Program Files\Fichiers communs\yjomidub.lib 
C:\Program Files\Fichiers communs\xiziwejo._sy



Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Hollymc · Answer

Voici le rapport combofix.
Note: il est possible que j'aie fait une mauvaise manip concernant le .txt à glisser déposer. Je recommence la manip ou pas ?

ComboFix 08-10-30.04 - Hollymc 2008-10-29 23:22:01.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1564 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Hollymc\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Hollymc\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
C:\Documents and Settings\All Users\Application Data\gofojit.dat
C:\Documents and Settings\All Users\Application Data\ijihad.exe
C:\Documents and Settings\All Users\Application Data\mozeh.dat
C:\Documents and Settings\All Users\Application Data\tezigo.vbs
C:\Documents and Settings\All Users\Application Data\vaniv.dll
C:\Documents and Settings\Hollymc\Application Data\acot.dat
C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin
C:\Documents and Settings\Hollymc\Application Data\nezoqo.sys
C:\Documents and Settings\Hollymc\Application Data\orywo.vbs
C:\Program Files\Fichiers communs\baxodape.reg
C:\Program Files\Fichiers communs\gomuwifeha.ban
C:\Program Files\Fichiers communs\idebe.sys
C:\Program Files\Fichiers communs\ixejyme.db
C:\Program Files\Fichiers communs\neqy.exe
C:\Program Files\Fichiers communs\ohimefakyj.db
C:\Program Files\Fichiers communs\pegafavu.inf
C:\Program Files\Fichiers communs\pyfahejaz.lib
C:\Program Files\Fichiers communs\voguqoka.inf
C:\Program Files\Fichiers communs\xiziwejo._sy
C:\Program Files\Fichiers communs\yjomidub.lib
C:\WINDOWS\ahixaz.ban
C:\WINDOWS\anoweqebuh.dl C:\WINDOWS\pijuhenaqe.lib
C:\WINDOWS\axaraz.dat
C:\WINDOWS\cecit.dll
C:\WINDOWS\eluqa.ban
C:\WINDOWS\gejoxycy.pif
C:\WINDOWS\imefyhizi._dl
C:\WINDOWS\nydedymuz.lib
C:\WINDOWS\oqiqoroc.dl
C:\WINDOWS\qyvigoli.exe
C:\WINDOWS\system32\akakoqoqy.lib
C:\WINDOWS\system32\golytu._sy
C:\WINDOWS\system32\inupa.vbs
C:\WINDOWS\system32\jiripewig.dll
C:\WINDOWS\system32\pymixigyto.scr
C:\WINDOWS\system32\pypozav.pif
C:\WINDOWS\system32\ubob._dl
C:\WINDOWS\system32\ydehax.pif
C:\WINDOWS\system32\ysajehikin.sys
C:\WINDOWS\system32\zukydor.pif
C:\WINDOWS\vygeqimewe.vbs
C:\WINDOWS\xefemiqu.vbs
C:\WINDOWS\xizagipo.db
C:\WINDOWS\yqeky.sys
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\gofojit.dat
C:\Documents and Settings\All Users\Application Data\ijihad.exe
C:\Documents and Settings\All Users\Application Data\mozeh.dat
C:\Documents and Settings\All Users\Application Data\tezigo.vbs
C:\Documents and Settings\All Users\Application Data\vaniv.dll
C:\Program Files\Fichiers communs\baxodape.reg
C:\Program Files\Fichiers communs\gomuwifeha.ban
C:\Program Files\Fichiers communs\idebe.sys
C:\Program Files\Fichiers communs\ixejyme.db
C:\Program Files\Fichiers communs\neqy.exe
C:\Program Files\Fichiers communs\ohimefakyj.db
C:\Program Files\Fichiers communs\pegafavu.inf
C:\Program Files\Fichiers communs\pyfahejaz.lib
C:\Program Files\Fichiers communs\voguqoka.inf
C:\Program Files\Fichiers communs\xiziwejo._sy
C:\Program Files\Fichiers communs\yjomidub.lib
C:\WINDOWS\ahixaz.ban
C:\WINDOWS\axaraz.dat
C:\WINDOWS\cecit.dll
C:\WINDOWS\eluqa.ban
C:\WINDOWS\gejoxycy.pif
C:\WINDOWS\imefyhizi._dl
C:\WINDOWS\nydedymuz.lib
C:\WINDOWS\oqiqoroc.dl
C:\WINDOWS\qyvigoli.exe
C:\WINDOWS\system32\akakoqoqy.lib
C:\WINDOWS\system32\golytu._sy
C:\WINDOWS\system32\inupa.vbs
C:\WINDOWS\system32\jiripewig.dll
C:\WINDOWS\system32\pymixigyto.scr
C:\WINDOWS\system32\pypozav.pif
C:\WINDOWS\system32\ubob._dl
C:\WINDOWS\system32\ydehax.pif
C:\WINDOWS\system32\ysajehikin.sys
C:\WINDOWS\system32\zukydor.pif
C:\WINDOWS\vygeqimewe.vbs
C:\WINDOWS\xefemiqu.vbs
C:\WINDOWS\xizagipo.db
C:\WINDOWS\yqeky.sys

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-30 ))))))))))))))))))))))))))))))))))))
.

2016-04-10 07:09 . 2016-04-10 07:09 <REP> d-------- C:\Documents and Settings\Hollymc\Application Data\InterVideo
2016-04-10 07:08 . 2006-05-11 17:41 654 --------- C:\WINDOWS\remove.iss
2014-02-22 00:06 . 2014-02-22 00:06 <REP> d-------- C:\Program Files\MSBuild
2014-02-22 00:06 . 2014-02-22 00:06 <REP> d-------- C:\Program Files\Microsoft Works
2014-02-22 00:02 . 2008-06-10 07:53 <REP> d-------- C:\WINDOWS\SHELLNEW
2014-02-22 00:01 . 2014-02-22 00:01 <REP> dr-h----- C:\MSOCache
2008-10-29 13:44 . 2008-10-29 13:44 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-29 13:44 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-29 13:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-29 13:27 . 2008-10-29 13:27 <REP> d-------- C:\Program Files\CCleaner
2008-10-29 11:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-10-29 11:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-10-29 11:26 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-10-29 11:26 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe
2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe
2008-10-29 11:26 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-10-29 11:26 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-10-29 11:26 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-10-29 11:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-10-29 11:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-10-29 11:08 . 2008-10-29 11:08 <REP> d-------- C:\Program Files\Trend Micro
2008-10-29 10:33 . 2008-10-29 10:33 19,141 --a------ C:\Documents and Settings\Hollymc\Application Data\acot.dat
2008-10-29 10:33 . 2008-10-29 10:33 14,264 --a------ C:\Documents and Settings\Hollymc\Application Data\nezoqo.sys
2008-10-29 10:33 . 2008-10-29 10:33 10,965 --a------ C:\WINDOWS\anoweqebuh.dl
2008-10-29 10:33 . 2008-10-29 10:33 10,913 --a------ C:\WINDOWS\pijuhenaqe.lib
2008-10-28 23:34 . 2008-10-28 23:34 16,774 --a------ C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin
2008-10-28 23:34 . 2008-10-28 23:34 12,009 --a------ C:\Documents and Settings\Hollymc\Application Data\orywo.vbs
2008-10-25 17:15 . 2008-10-25 17:15 <REP> d-------- C:\Program Files\Microsoft Games
2008-10-23 18:14 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-15 12:27 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-15 12:27 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 12:26 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 12:26 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 12:26 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 12:26 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-09 05:37 . 2008-10-09 05:37 <REP> d-------- C:\watcom-1.3
2008-10-09 05:37 . 2008-10-09 05:37 212,992 --a------ C:\WINDOWS\system32\WMIMPLEX.dll
2008-10-09 05:35 . 2008-10-09 05:37 <REP> d--h----- C:\Program Files\Zero G Registry
2008-10-09 05:32 . 2008-10-09 05:32 <REP> d--h----- C:\Documents and Settings\Hollymc\InstallAnywhere
2008-09-19 22:55 . 2008-09-19 22:55 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-09-19 22:55 . 2008-09-19 22:55 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-09-18 17:38 . 2008-10-30 23:23 22,048,800 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-18 17:38 . 2008-10-29 15:58 256,940 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-18 06:24 . 2008-09-18 06:24 <REP> d-------- C:\Program Files\Zone Labs
2008-09-16 20:03 . 2008-09-16 20:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-09-16 20:03 . 2004-04-27 03:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-09-16 20:03 . 2008-09-18 06:26 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-09-16 20:02 . 2008-10-30 23:22 <REP> d-------- C:\WINDOWS\Internet Logs
2008-09-16 18:56 . 2008-09-16 18:56 <REP> d-------- C:\Documents and Settings\Hollymc\Application Data\Anonymizer
2008-09-16 18:55 . 2008-09-16 18:55 <REP> d-------- C:\Program Files\Anonymizer
2008-09-16 18:55 . 2008-09-16 18:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Anonymizer
2008-09-16 01:14 . 2008-09-16 01:14 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-09-16 01:14 . 2008-09-16 01:14 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe
2008-09-16 01:14 . 2008-09-16 01:14 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm
2008-09-16 01:14 . 2008-09-16 01:14 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb
2008-09-16 01:12 . 2008-09-16 01:12 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2008-09-16 01:12 . 2008-09-16 01:12 344,064 --a------ C:\WINDOWS\system32\dpus11.dll
2008-09-16 01:12 . 2008-09-16 01:12 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2008-09-16 01:12 . 2008-09-16 01:12 294,912 --a------ C:\WINDOWS\system32\dpu10.dll
2008-09-16 01:12 . 2008-09-16 01:12 196,608 --a------ C:\WINDOWS\system32\dtu100.dll
2008-09-16 01:12 . 2008-09-16 01:12 81,920 --a------ C:\WINDOWS\system32\dpl100.dll
2008-09-16 01:12 . 2008-09-16 01:12 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2008-09-16 01:12 . 2008-09-16 01:12 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll
2008-09-16 01:12 . 2008-09-16 01:12 8,835 --a------ C:\WINDOWS\system32\dpufr.qm
2008-09-16 01:12 . 2008-09-16 01:12 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm
2008-09-16 01:12 . 2008-09-16 01:12 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest
2008-09-16 01:12 . 2008-09-16 01:12 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest
2008-09-16 01:11 . 2008-09-16 01:11 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2008-09-16 01:11 . 2008-09-16 01:11 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll
2008-09-16 01:11 . 2008-09-16 01:11 815,104 --a------ C:\WINDOWS\system32\divx_xx0a.dll
2008-09-16 01:11 . 2008-09-16 01:11 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll
2008-09-16 01:11 . 2008-09-16 01:11 683,520 --a------ C:\WINDOWS\system32\DivX.dll
2008-09-16 01:11 . 2008-09-16 01:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-09-16 01:11 . 2008-09-16 01:11 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-09-03 05:21 . 2008-09-03 05:21 <REP> d-------- C:\WINDOWS\system32\fr
2008-09-03 05:21 . 2008-09-03 05:21 <REP> d-------- C:\WINDOWS\system32\bits
2008-09-03 05:21 . 2008-09-03 05:21 <REP> d-------- C:\WINDOWS\l2schemas
2008-09-03 05:19 . 2008-09-03 05:21 <REP> d-------- C:\WINDOWS\ServicePackFiles
2008-09-03 05:15 . 2008-09-03 05:15 <REP> d-------- C:\WINDOWS\EHome
2008-09-02 06:24 . 2004-08-19 14:53 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-09-01 20:38 . 2008-09-01 20:38 <REP> d-------- C:\Documents and Settings\Hollymc\Application Data\PCToolsFirewallPlus

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2016-04-10 06:08 --------- d-----w C:\Program Files\Fichiers communs\Ulead
2008-10-29 15:00 3,006,976 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-10-29 15:00 1,594,368 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2008-10-29 14:37 1,593,344 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-10-26 12:26 --------- d-----w C:\Program Files\DivX
2008-10-24 14:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP
2008-10-18 18:30 3,532 ----a-w C:\drmHeader.bin
2008-10-17 01:32 --------- d-----w C:\Program Files\IsoBuster
2008-10-17 01:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help
2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-06 10:46 --------- d-----w C:\Program Files\FlashGet
2008-09-06 10:39 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\.gaim
2008-09-02 05:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-09-01 20:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-09-01 19:08 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\AdobeUM
2008-09-01 19:05 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-08-20 05:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll
2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll
2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll
2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-13 7557120]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

C:\Documents and Settings\Hollymc\Menu D‚marrer\Programmes\D‚marrage\

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PlexTools Professional.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PlexTools Professional.lnk
backup=C:\WINDOWS\pss\PlexTools Professional.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-02-13 20:05 7557120 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-02-13 20:05 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2006-10-12 03:10 49263 C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2007-12-19 16:31 3477504 C:\Program Files\Veoh Networks\Veoh\VeohClient.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-02-13 20:05 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-05-27 03:47 16208384 C:\WINDOWS\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"TapiSrv"=3 (0x3)
"NinjaVideo Helper.exe"=2 (0x2)
"LiveUpdate"=3 (0x3)
"LaCie Safe Hard Drive Enabler"=2 (0x2)
"Automatic LiveUpdate Scheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R2 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [2000-02-22 9152]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [ ]
S3 PortTalk;PortTalk;C:\WINDOWS\system32\Drivers\PortTalk.sys [2002-01-12 3567]

*Newly Created Service* - CATCHME
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-30 23:23:15
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-30 23:24:26
ComboFix-quarantined-files.txt 2008-10-30 22:24:12
ComboFix2.txt 2008-10-29 18:58:03

Avant-CF: 15 467 196 416 octets libres
Après-CF: 15,561,510,912 octets libres

308 --- E O F --- 2008-10-24 01:00:51

sKe69 · Answer

re,


2 min , je te prépare une autre manipe .... ^^

Hollymc · Answer

et voici le HJT : (sinon, pour la console de recuperation, c'est grave si je l'ai pas?)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:56:15, on 30/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

(sinon, pour la console de recuperation, c'est grave si je l'ai pas?) 
-> oui , c'est pas grave ... ;)

on en refais un autre :


1-Crées un doc texte sur ton bureau : 
pointes ta souris sur ton bureau , cliques droit : vas dans "nouveau" et choisis "document texte" . 

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer : 


File:: 
C:\Documents and Settings\Hollymc\Application Data\acot.dat 
C:\Documents and Settings\Hollymc\Application Data
ezoqo.sys 
C:\WINDOWS\anoweqebuh.dl 
C:\WINDOWS\pijuhenaqe.lib 
C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin 
C:\Documents and Settings\Hollymc\Application Data\orywo.vbs 


 
Puis vas dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : 
CFScript puis valides ...
 

2-Nettoyage :

!! Déconnectes toi, fermes toutes tes applications et désactives TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

--->Sur ton bureau, fais un glissé avec ta souris le fichier CFScript sur l'icône de ComboFix.exe . 

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tapes 1 puis valide. 

Puis patientes le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!) 

!! Ne touches à rien tant que le scan n'est pas terminé !! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisses-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Postes le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

Hollymc · Answer

Voici le rapport combofix : ComboFix 08-10-30.04 - Hollymc 2008-10-31 0:08:46.4 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.1567 [GMT 1:00] Lancé depuis: C:\Documents and Settings\Hollymc\Bureau\ComboFix.exe Commutateurs utilisés :: C:\Documents and Settings\Hollymc\Bureau\CFScript.txt * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] FILE :: C:\Documents and Settings\Hollymc\Application Data\acot.dat C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin C:\Documents and Settings\Hollymc\Application Data ezoqo.sys C:\Documents and Settings\Hollymc\Application Data\orywo.vbs C:\WINDOWS\anoweqebuh.dl C:\WINDOWS\pijuhenaqe.lib . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Hollymc\Application Data\acot.dat C:\Documents and Settings\Hollymc\Application Data\eqyqenizi.bin C:\Documents and Settings\Hollymc\Application Data ezoqo.sys C:\Documents and Settings\Hollymc\Application Data\orywo.vbs C:\WINDOWS\anoweqebuh.dl C:\WINDOWS\pijuhenaqe.lib . ((((((((((((((((((((((((((((( Fichiers créés du 2008-09-28 au 2008-10-30 )))))))))))))))))))))))))))))))))))) . 2016-04-10 07:09 . 2016-04-10 07:09 d-------- C:\Documents and Settings\Hollymc\Application Data\InterVideo 2016-04-10 07:08 . 2006-05-11 17:41 654 --------- C:\WINDOWS emove.iss 2014-02-22 00:06 . 2014-02-22 00:06 d-------- C:\Program Files\MSBuild 2014-02-22 00:06 . 2014-02-22 00:06 d-------- C:\Program Files\Microsoft Works 2014-02-22 00:02 . 2008-06-10 07:53 d-------- C:\WINDOWS\SHELLNEW 2014-02-22 00:01 . 2014-02-22 00:01 dr-h----- C:\MSOCache 2008-10-29 13:44 . 2008-10-29 13:44 d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-10-29 13:44 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-10-29 13:44 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-10-29 13:27 . 2008-10-29 13:27 d-------- C:\Program Files\CCleaner 2008-10-29 11:26 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-29 11:26 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-29 11:26 . 2008-09-08 22:38 88,576 --a------ C:\WINDOWS\system32\AntiXPVSTFix.exe 2008-10-29 11:26 . 2008-10-01 14:51 87,552 --a------ C:\WINDOWS\system32\VACFix.exe 2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\o4Patch.exe 2008-10-29 11:26 . 2008-05-18 20:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-29 11:26 . 2008-10-10 07:58 82,944 --a------ C:\WINDOWS\system32\IEDFix.C.exe 2008-10-29 11:26 . 2008-08-18 11:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe 2008-10-29 11:26 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-10-29 11:26 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-29 11:26 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-29 11:08 . 2008-10-29 11:08 d-------- C:\Program Files\Trend Micro 2008-10-23 18:14 . 2008-10-15 17:35 337,408 -----c--- C:\WINDOWS\system32\dllcache etapi32.dll 2008-10-15 12:27 . 2008-09-15 16:26 1,846,528 -----c--- C:\WINDOWS\system32\dllcache\win32k.sys 2008-10-15 12:27 . 2008-09-08 11:41 333,824 -----c--- C:\WINDOWS\system32\dllcache\srv.sys 2008-10-15 12:26 . 2008-08-14 14:23 2,191,232 -----c--- C:\WINDOWS\system32\dllcache toskrnl.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,147,328 -----c--- C:\WINDOWS\system32\dllcache tkrnlmp.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,068,096 -----c--- C:\WINDOWS\system32\dllcache tkrnlpa.exe 2008-10-15 12:26 . 2008-08-14 14:23 2,025,984 -----c--- C:\WINDOWS\system32\dllcache tkrpamp.exe 2008-10-09 05:37 . 2008-10-09 05:37 d-------- C:\watcom-1.3 2008-10-09 05:37 . 2008-10-09 05:37 212,992 --a------ C:\WINDOWS\system32\WMIMPLEX.dll 2008-10-09 05:35 . 2008-10-09 05:37 d--h----- C:\Program Files\Zero G Registry 2008-10-09 05:32 . 2008-10-09 05:32 d--h----- C:\Documents and Settings\Hollymc\InstallAnywhere 2008-09-19 22:55 . 2008-09-19 22:55 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2008-09-19 22:55 . 2008-09-19 22:55 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2008-09-18 17:38 . 2008-10-31 00:10 22,132,768 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-09-18 17:38 . 2008-10-29 15:58 256,940 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-09-18 06:24 . 2008-09-18 06:24 d-------- C:\Program Files\Zone Labs 2008-09-16 20:03 . 2008-09-16 20:03 d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier 2008-09-16 20:03 . 2004-04-27 03:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-09-16 20:03 . 2008-09-18 06:26 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-09-16 20:02 . 2008-10-31 00:05 d-------- C:\WINDOWS\Internet Logs 2008-09-16 18:56 . 2008-09-16 18:56 d-------- C:\Documents and Settings\Hollymc\Application Data\Anonymizer 2008-09-16 18:55 . 2008-09-16 18:55 d-------- C:\Program Files\Anonymizer 2008-09-16 18:55 . 2008-09-16 18:55 d-------- C:\Documents and Settings\All Users\Application Data\Anonymizer 2008-09-16 01:14 . 2008-09-16 01:14 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-09-16 01:14 . 2008-09-16 01:14 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-09-16 01:14 . 2008-09-16 01:14 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm 2008-09-16 01:14 . 2008-09-16 01:14 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2008-09-16 01:12 . 2008-09-16 01:12 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll 2008-09-16 01:12 . 2008-09-16 01:12 344,064 --a------ C:\WINDOWS\system32\dpus11.dll 2008-09-16 01:12 . 2008-09-16 01:12 294,912 --a------ C:\WINDOWS\system32\dpu11.dll 2008-09-16 01:12 . 2008-09-16 01:12 294,912 --a------ C:\WINDOWS\system32\dpu10.dll 2008-09-16 01:12 . 2008-09-16 01:12 196,608 --a------ C:\WINDOWS\system32\dtu100.dll 2008-09-16 01:12 . 2008-09-16 01:12 81,920 --a------ C:\WINDOWS\system32\dpl100.dll 2008-09-16 01:12 . 2008-09-16 01:12 57,344 --a------ C:\WINDOWS\system32\dpv11.dll 2008-09-16 01:12 . 2008-09-16 01:12 53,248 --a------ C:\WINDOWS\system32\dpuGUI10.dll 2008-09-16 01:12 . 2008-09-16 01:12 8,835 --a------ C:\WINDOWS\system32\dpufr.qm 2008-09-16 01:12 . 2008-09-16 01:12 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm 2008-09-16 01:12 . 2008-09-16 01:12 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest 2008-09-16 01:12 . 2008-09-16 01:12 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest 2008-09-16 01:11 . 2008-09-16 01:11 823,296 --a------ C:\WINDOWS\system32\divx_xx0c.dll 2008-09-16 01:11 . 2008-09-16 01:11 823,296 --a------ C:\WINDOWS\system32\divx_xx07.dll 2008-09-16 01:11 . 2008-09-16 01:11 815,104 --a------ C:\WINDOWS\system32\divx_xx0a.dll 2008-09-16 01:11 . 2008-09-16 01:11 802,816 --a------ C:\WINDOWS\system32\divx_xx11.dll 2008-09-16 01:11 . 2008-09-16 01:11 683,520 --a------ C:\WINDOWS\system32\DivX.dll 2008-09-16 01:11 . 2008-09-16 01:11 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-09-16 01:11 . 2008-09-16 01:11 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-09-03 05:21 . 2008-09-03 05:21 d-------- C:\WINDOWS\system32\fr 2008-09-03 05:21 . 2008-09-03 05:21 d-------- C:\WINDOWS\system32\bits 2008-09-03 05:21 . 2008-09-03 05:21 d-------- C:\WINDOWS\l2schemas 2008-09-03 05:19 . 2008-09-03 05:21 d-------- C:\WINDOWS\ServicePackFiles 2008-09-03 05:15 . 2008-09-03 05:15 d-------- C:\WINDOWS\EHome 2008-09-02 06:24 . 2004-08-19 14:53 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-09-01 20:38 . 2008-09-01 20:38 d-------- C:\Documents and Settings\Hollymc\Application Data\PCToolsFirewallPlus . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2016-04-10 06:08 --------- d-----w C:\Program Files\Fichiers communs\Ulead 2008-10-29 15:00 3,006,976 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2008-10-29 15:00 1,594,368 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2008-10-29 14:37 1,593,344 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2008-10-26 12:26 --------- d-----w C:\Program Files\DivX 2008-10-24 14:07 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP 2008-10-18 18:30 3,532 ----a-w C:\drmHeader.bin 2008-10-17 01:32 --------- d-----w C:\Program Files\IsoBuster 2008-10-17 01:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help 2008-09-15 15:26 1,846,528 ----a-w C:\WINDOWS\system32\win32k.sys 2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys 2008-09-06 10:46 --------- d-----w C:\Program Files\FlashGet 2008-09-06 10:39 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\.gaim 2008-09-02 05:13 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-09-01 20:14 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec 2008-09-01 19:08 --------- d-----w C:\Documents and Settings\Hollymc\Application Data\AdobeUM 2008-09-01 19:05 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-08-20 05:10 670,208 ----a-w C:\WINDOWS\system32\wininet.dll 2008-08-14 13:23 2,147,328 ----a-w C:\WINDOWS\system32 toskrnl.exe 2008-08-14 13:23 2,025,984 ----a-w C:\WINDOWS\system32 tkrnlpa.exe 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll 2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc040c.dll 2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc040c.dll 2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc040c.dll 2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc040c.dll 2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-02-13 7557120] "ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] C:\Documents and Settings\Hollymc\Menu D‚marrer\Programmes\D‚marrage\ [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "AllowLegacyWebView"= 1 (0x1) "AllowUnhashedWebView"= 1 (0x1) [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PlexTools Professional.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\PlexTools Professional.lnk backup=C:\WINDOWS\pss\PlexTools Professional.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2008-04-14 03:33 15360 C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2006-02-13 20:05 7557120 C:\WINDOWS\system32 vcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2006-02-13 20:05 86016 C:\WINDOWS\system32 vmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2006-10-12 03:10 49263 C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] -ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] --a------ 2007-12-19 16:31 3477504 C:\Program Files\Veoh Networks\Veoh\VeohClient.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg wiz] --a------ 2006-02-13 20:05 1519616 C:\WINDOWS\system32 wiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2006-05-27 03:47 16208384 C:\WINDOWS\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "TapiSrv"=3 (0x3) "NinjaVideo Helper.exe"=2 (0x2) "LiveUpdate"=3 (0x3) "LaCie Safe Hard Drive Enabler"=2 (0x2) "Automatic LiveUpdate Scheduler"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"= "C:\WINDOWS\system32\dpvsetup.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= R2 TICalc;TICalc;C:\WINDOWS\system32\drivers\TICalc.sys [2000-02-22 9152] S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [ ] S3 PortTalk;PortTalk;C:\WINDOWS\system32\Drivers\PortTalk.sys [2002-01-12 3567] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-31 00:09:34 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . Heure de fin: 2008-10-31 0:10:50 ComboFix-quarantined-files.txt 2008-10-30 23:10:35 ComboFix2.txt 2008-10-30 22:24:27 ComboFix3.txt 2008-10-29 18:58:03 Avant-CF: 15 529 123 840 octets libres Après-CF: 15,520,514,048 octets libres 232 --- E O F --- 2008-10-24 01:00:51

Hollymc · Answer

et le log HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:17:06, on 31/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32
otepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Trend Micro\HijackThis\monjack.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

Impec ... on a bien avancer Là ... ^^


restes encore quelque points à voir ....


la suite dans l'ordre :

1-Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/

Déconnectes toi et fermes bien toutes tes applications en cours .

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . 

( gardes CCleaner et Malwarebytes : très utiles ! )


2- Refais un coup de CCleaner ( registre compris ) .


3- Retélécharges et réinstalles hijackthis ( car supprimé par Toolscleaner2 ) ,

Télécharges et installes le logiciel HijackThis : 

ici ftp://ftp.commentcamarche.com/download/HJTInstall.exe 
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Cliques sur le setup pour lancer l'installe : laisses toi guider et ne modifies pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : fermes le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 


4- Nettoyes Norton correctement ainsi :

Télécharges Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnectes toi . 
Ensuite désinstalles Norton avec "Norton removal tool": tu doubles click dessus et te laisses guider ... il faut le désinstaller correctement ( fait la manipe 2 fois si possible ). 


5- Fais ceci pour réparer le mode sans échec : 
Cliques droit sur ce lien :
http://www.malekal.com/download/SafeBoot.reg 
Et choisis " enregistrer la cible sous " afin de télécharger "SafeBoot.reg" sur ton Bureau . 
Doubles cliques sur ce .reg et acceptes la fusion avec le registre . 


6- Purge de la restauration système 
*Désactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC 
*Réactives ta restauration :
Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarres ton PC
( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


7- Installation et utilisation de ton nouvel anti virus ( le top du moment en gratuit ! )

Télécharges AntiVir Personal Edition  ici :
https://www.pcastuces.com/logitheque/antivir.htm
ou
https://www.avira.com/

Anti-virus gratuit ( en anglais mais très simple ) 
Installes le et mets le à jour (fais ce-ci très régulièrement ) .

Aide AntiVir : https://www.malekal.com/avira-free-security-antivirus-gratuit/

Si jamais tu as un problème avec la mise à jour , regardes ici :
http://www.commentcamarche.net/faq/sujet 8622 mise a jour d antivir impossible  


Fais ce réglage supplémentaire :

***************************************
Une fois AntiVir ouvert click sur configuration et coches la case "expert mode" . 
*Puis click sur configuration en haut a droite; dans la nouvelle fenetre à gauche ->scanner -> coches "scan all files" et en dessous ->scanner priority = High 
*coches : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir. 
*puis sur la droite, coches les cases suivantes : 
scan boot sectors of selected drives 
scan master boot sectors 
scan memory 
search for rootkit before scan 
et décoches : 
ignore off line files 
*toujours a gauche -> scan -> deploie -> heuristique -> macrovirus heuristic = coché et en dessous -> win32 heuristic la case cochée et high detection level aussi ...

---> cliques sur "OK" pour valider le réglage ...
****************************************

Une fois fait , 
Impératif : Démarrer en mode sans echec .

 /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec :
1) Redémarres ton ordi .
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...
 
Lances un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ... 
Redémarres ton PC et postes moi le rapport obtenu ... Aides toi bien du tuto ;) 

( PS : Si AntiVir s'affolle dès la fin de son installe , ainsi qu'au redémarrage du PC , mets tout en quarantaine et postes moi tous les rapports ... )

Hollymc · Answer

Je posterai tout ça demain.
Merci en tout cas pour ton aide, et merci pour la rapidité de l'intervention.

Hollymc · Answer

[ Rapport ToolsCleaner version 2.2.4 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Combofix.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Hollymcr\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Hollymc\Bureau\SmitFraudFix.exe: trouvé !
C:\Documents and Settings\Hollymc\Bureau\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Hollymc\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Hollymc\Bureau\SmitFraudFix.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Hollymc\Bureau\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !







Le reste arrive, mais je suis un peu occupé par mon travail dernièrement. En tout cas, le virus semble avoir disparu et il ne me gène plus. Je finirais les instructions sans doute aujourd'hui dans la journée.

Hollymc · Answer

Bon, j'ai fait le scann, mais pas encore en mode sans echec (car en mode sans echec je peux pas utiliser internet, et en ce moment j'en ai vraiment besoin). J'ai fait les modifications des préférences de l'antivirus après coup également. Mais je poste quand même le résultat car il y a peut-être des infos intéressantes : Avira AntiVir Personal Report file date: samedi 1 novembre 2008 23:20 Scanning for 1001710 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Platform: Windows XP Windows version: (Service Pack 3) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: Hollymc Version information: BUILD.DAT : 8.2.0.334 16933 Bytes 16/10/2008 14:55:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53 AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19 LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 22:12:26 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31/10/2008 22:12:26 ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31/10/2008 22:12:27 ANTIVIR3.VDF : 7.1.0.26 14848 Bytes 31/10/2008 22:12:28 Engineversion : 8.2.0.10 AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 11:05:56 AESCRIPT.DLL : 8.1.1.9 319867 Bytes 01/11/2008 22:12:32 AESCN.DLL : 8.1.1.3 123252 Bytes 14/10/2008 11:05:56 AERDL.DLL : 8.1.1.2 438644 Bytes 12/09/2008 07:06:02 AEPACK.DLL : 8.1.2.4 369014 Bytes 14/10/2008 11:05:56 AEOFFICE.DLL : 8.1.0.29 196988 Bytes 01/11/2008 22:12:31 AEHEUR.DLL : 8.1.0.63 1479032 Bytes 01/11/2008 22:12:31 AEHELP.DLL : 8.1.1.2 115062 Bytes 14/10/2008 11:05:56 AEGEN.DLL : 8.1.0.42 319861 Bytes 01/11/2008 22:12:29 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 11:05:56 AECORE.DLL : 8.1.2.9 172407 Bytes 01/11/2008 22:12:29 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 11:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01 AVREP.DLL : 8.0.0.2 98344 Bytes 01/11/2008 22:12:28 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, F:, I:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: samedi 1 novembre 2008 23:20 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'SymNRT.exe' - '1' Module(s) have been scanned Scan process 'WISPTIS.EXE' - '1' Module(s) have been scanned Scan process 'vsmon.exe' - '0' Module(s) have been scanned Scan process 'zlclient.exe' - '0' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'NMSAccess.exe' - '1' Module(s) have been scanned Scan process 'imapi.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 32 processes with 32 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'F:\' [INFO] No virus was found! Boot sector 'I:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '55' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0091955.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0091956.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092003.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092004.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092040.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092041.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092046.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092047.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092052.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092053.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092058.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092059.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092064.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092065.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092070.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092071.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092076.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092077.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092082.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092083.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092088.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092089.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092094.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092095.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092100.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092101.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092122.cpl [DETECTION] Is the TR/FakeAV.bak.2 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092124.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092125.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092133.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092410.dll [DETECTION] Is the TR/Fakealert.QF Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092411.dll [DETECTION] Is the TR/Killav.28714 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092412.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092414.cpl [DETECTION] Is the TR/Killav.28714 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092416.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092417.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092418.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092420.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092421.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! Begin scan in 'F:\' Begin scan in 'I:\' End of the scan: dimanche 2 novembre 2008 00:09 Used time: 48:35 Minute(s) The scan has been done completely. 12597 Scanning directories 437753 Files were scanned 39 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 39 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 437713 Files not concerned 4197 Archives were scanned 1 Warnings 39 Notes

Hollymc · Answer

Bon, j'ai fait le scann, mais pas encore en mode sans echec (car en mode sans echec je peux pas utiliser internet, et en ce moment j'en ai vraiment besoin). J'ai fait les modifications des préférences de l'antivirus après coup également. Mais je poste quand même le résultat car il y a peut-être des infos intéressantes : Avira AntiVir Personal Report file date: samedi 1 novembre 2008 23:20 Scanning for 1001710 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Platform: Windows XP Windows version: (Service Pack 3) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: Hollymc Version information: BUILD.DAT : 8.2.0.334 16933 Bytes 16/10/2008 14:55:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 26/06/2008 09:57:53 AVSCAN.DLL : 8.1.4.0 40705 Bytes 26/05/2008 08:56:40 LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 13:44:19 LUKERES.DLL : 8.1.4.0 12033 Bytes 26/05/2008 08:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 22:12:26 ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31/10/2008 22:12:26 ANTIVIR2.VDF : 7.1.0.22 2048 Bytes 31/10/2008 22:12:27 ANTIVIR3.VDF : 7.1.0.26 14848 Bytes 31/10/2008 22:12:28 Engineversion : 8.2.0.10 AEVDF.DLL : 8.1.0.6 102772 Bytes 14/10/2008 11:05:56 AESCRIPT.DLL : 8.1.1.9 319867 Bytes 01/11/2008 22:12:32 AESCN.DLL : 8.1.1.3 123252 Bytes 14/10/2008 11:05:56 AERDL.DLL : 8.1.1.2 438644 Bytes 12/09/2008 07:06:02 AEPACK.DLL : 8.1.2.4 369014 Bytes 14/10/2008 11:05:56 AEOFFICE.DLL : 8.1.0.29 196988 Bytes 01/11/2008 22:12:31 AEHEUR.DLL : 8.1.0.63 1479032 Bytes 01/11/2008 22:12:31 AEHELP.DLL : 8.1.1.2 115062 Bytes 14/10/2008 11:05:56 AEGEN.DLL : 8.1.0.42 319861 Bytes 01/11/2008 22:12:29 AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 11:05:56 AECORE.DLL : 8.1.2.9 172407 Bytes 01/11/2008 22:12:29 AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 11:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 09:40:05 AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 10:28:01 AVREP.DLL : 8.0.0.2 98344 Bytes 01/11/2008 22:12:28 AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 12:26:40 AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 09:29:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 13:27:49 SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 18:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 13:49:40 NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 13:05:10 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12/06/2008 14:48:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 27/06/2008 14:34:37 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, F:, I:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: samedi 1 novembre 2008 23:20 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'SymNRT.exe' - '1' Module(s) have been scanned Scan process 'WISPTIS.EXE' - '1' Module(s) have been scanned Scan process 'vsmon.exe' - '0' Module(s) have been scanned Scan process 'zlclient.exe' - '0' Module(s) have been scanned Scan process 'iexplore.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'usnsvc.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned Scan process 'NMSAccess.exe' - '1' Module(s) have been scanned Scan process 'imapi.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 32 processes with 32 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Master boot sector HD1 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'F:\' [INFO] No virus was found! Boot sector 'I:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '55' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0091955.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0091956.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092003.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092004.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092040.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092041.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092046.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092047.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092052.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092053.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092058.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092059.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092064.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092065.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092070.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092071.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092076.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092077.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092082.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092083.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092088.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092089.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092094.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092095.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092100.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092101.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092122.cpl [DETECTION] Is the TR/FakeAV.bak.2 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092124.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092125.sys [DETECTION] Is the TR/Rootkit.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092133.exe [DETECTION] Contains recognition pattern of the WORM/Autorun.nuz worm [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092410.dll [DETECTION] Is the TR/Fakealert.QF Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092411.dll [DETECTION] Is the TR/Killav.28714 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092412.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092414.cpl [DETECTION] Is the TR/Killav.28714 Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092416.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092417.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092418.dll [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092420.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! C:\System Volume Information\_restore{04B1F699-1777-4350-B367-E249FB0FE0FF}\RP460\A0092421.exe [DETECTION] Is the TR/Trash.Gen Trojan [NOTE] The file was deleted! Begin scan in 'F:\' Begin scan in 'I:\' End of the scan: dimanche 2 novembre 2008 00:09 Used time: 48:35 Minute(s) The scan has been done completely. 12597 Scanning directories 437753 Files were scanned 39 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 39 files were deleted 0 files were repaired 0 files were moved to quarantine 0 files were renamed 1 Files cannot be scanned 437713 Files not concerned 4197 Archives were scanned 1 Warnings 39 Notes

sKe69 · Answer

l'info intéressante c'est  :
- tu ne l'as pas fait comme je te l'avais demandé .... ^^'

- surtout , tu n'avais pas purgé ta restauration avant comme je l'avais demandé ... -_-

A part cela , rien de grave dans ce rapport ....



Donc la suite :

1- supprimes tout ce qui se trouve dans la quarantaine d ' Antivir ( via celle-ci ) .


 Vu que tu n'as plus de soucis avec le PC , on peut finaliser :


2- Nettoyes les traces de Norton car cela peut engendrer des plantage avec antivir :

Télécharges Norton removal tool sur ton bureau :
ftp://ftp.symantec.com/public/francais/removal_tools/Norton_Removal_Tool.exe

Déconnectes toi . 
Ensuite désinstalles Norton avec "Norton removal tool": tu doubles click dessus et te laisses guider ... il faut le désinstaller correctement ( fait la manipe 2 fois si possible ). 


3- Mets à jours ce qui suit, c'est important ( des versions pas à jours = failles de sécurité ) :
* pour la console Java :
-> désinstalles les versions antérieurs via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista) .
-> Puis télécharges et installes la dernière version ici :
http://www.commentcamarche.net/telecharger/telecharger 34055318 java runtime environment
ou https://www.java.com/fr/

-> Enfin contrôles ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".


4- Une fois tout cela fait , postes un dernier rapport hijakthis pour contrôler et attends la suite ...

hollymc · Answer

Je n'ai pas encore fait la manip pour purger la restauration systeme, ni celle pour enlever la pub de antivir lors des mises à jours, ni l'analyse complète avec antivir en mode sans echec, car je n'arrive toujours pas à démarrer (et toutes ces manip le requièrent) en mode sans echec ! (même après avoir utilisé le .reg que tu m'as donné).

hollymc · Answer

Note: J'ai quand même redémarré l'ordi depuis (pour Norton), mais, alors que j'avais déjà installé antivir, il ne s'est pas ouvert au démarrage de l'ordi. Est-ce normal ? Y a-t-il une option pour rendre son ouverture automatique, ou bien il faut le mettre dans le dossier 'demarrage' de 'demarrer' ?

sKe69 · Answer

??????

tu as Norton et Antivir sur ton PC ? ...

et quand je donne un manipe à faire ( poste 73 ) et que je me donne la peine d'énumérer point par points en précisant bien au début " dans l'ordre " , ce n'est pas pour faire joli ! ... -_-'



soit ... repostes moi aussi un nouveau rapport hijackthis stp .....

Hollymc · Answer

Oui désolé j'ai pas vraiment respecté l'ordre car j'avais des trucs en cours sur l'ordi et je ne pouvais pas redémarrer. J'ai quelques heures là où je peux faire ce que tu me demandes.
Voici un rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:02, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin
pjpi160_07.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

Salut,



bien .... maintenant j'aimerai que tu fasses ce que je t'avais demandé ici : 
http://www.commentcamarche.net/forum/affich 9130304 virus antispywarexp 2009?page=4#80


une fois fais , postes moi un nouveau rapport hijackthis pour contrôler ....

Hollymc · Answer

Ok, j'ai fait le post 80, voici le rapport :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:47, on 04/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\CDBurnerXP\NMSAccess.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - https://www.cult3d.com/
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - https://sdlc-esd.oracle.com/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab?GroupName=JSC&FilePath=/ESD5/JSCDL/jre/6u10-b92-b/jinstall-6u10-windows-i586-jc.cab&BHost=javadl.sun.com&File=jinstall-6u10-windows-i586-jc.cab&AuthParam=1580987764_a5235be86e79daca0cfb05ddc36bfbcd&ext=.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {A4110378-789B-455F-AE86-3A1BFC402853} (ZPA_SHVL Object) - http://zone.msn.com/bingame/zpagames/zpa_shvl.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - https://zone.msn.com/en/utility/handler404.aspx?404;http://zone.msn.com:80/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccess.exe
O23 - Service: WinFast(R) Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

sKe69 · Answer

bien .... on termine .... dans l'ordre : 1- Fermes toutes tes applications et déconnectes toi . Relances Hijackthis mais click sur " Do a scan only " Tu vois donc apparaitre le résultat du scan : une multitudes de lignes ,chacunes précédées d'un carré vide . Tu vas cliquer sur les carrés des lignes suivantes : O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab Tu cliques en bas sur le bouton FIX CHECKED et valides . Si et seulement si tu n'as plus de soucis , fais la suite : 2-Déconnectes toi et fermes bien toutes tes applications en cours . Lances Toolscleaner2 . *Cliques sur Recherche et laisses le scan se terminer (cela peut être long). *Cliques sur Suppression pour finaliser. *Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : ---> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) . Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé . Puis enfin supprimes Toolscleaner2 ... 3- Refais un coup de CCleaner ( registre compris ) . 4- Fais ce check-up pour finir : ( étape A à faire de suite ! et le reste dès que tu peux mais ne tardes pas trop ;) ) A-Purge de la restauration système *Désactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC *Réactives ta restauration : Cliques droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK --->Redémarres ton PC ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques *Vérifications des erreurs : Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques Note : si tu as un utilitaire pour défragmenter , utilises le à la place ... C-Crées un point de restauration de ton PC : Aller dans le Menu Démarrer puis dans Programmes, - Ensuite dans Accessoires et enfin dans Outils système, - Choisir "Restauration du système", - Sélectionner "Créer un point de restauration", - Cliquer sur "Suivant", - Entrer un nom pour le point de restauration (ce nom doit être assez évocateur), exemple : << Point restauration sain >> . --> Cliquer sur "Créer" et le point de restauration se créé automatiquement. ---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

Hollymc · Answer

Voilà déjà le rapport :

[ Rapport ToolsCleaner version 2.2.5 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Hollymc\Bureau\HijackThis.lnk: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Hollymc\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

sKe69 · Answer

bien .... ;)


Continues ...

Hollymc · Answer

IMPORTANT et URGENT : 
J'ai fait la purge de la restauration système, j'ai redémarré deux fois comme tu m'as dit, j'ai fait le nettoyage de mes 3 disques (de mémoire, ce qu'il me proposait, c'était simplement de supprimer la corbeille - pour C, il y avait un peu de fichiers temporaires aussi). J'ai ensuite cliqué sur Vérifier maintenant pour le disque C (c'est mon disque système), j'ai coché les deux cases. Une boite de dialogue est apparue et me parlait de redemarrage. J'ai cliqué sur Ok, rien ne s'est passé, j'ai donc lancé le redemarrage moi-meme.
MAIS windows ne se lançait plus ! J'ai du faire un redemarrage forcé avec le bouton reset une 20ene de fois (j'ai meme une fois coupé l'alim), mais le resultat etait toujours le meme : il restait bloqué sur un ecran noir, avec un trait blanc en haut à gauche (qui clignotait je crois).
Quelques fois (une fois sur 3 ou sur 5 je pense, mais je ne sais pas si c'etait regulier ou pas - tu le sais peut-etre), il m'affichait une page qui disait entre autre que windows n'avait pas redemarré correctement, et il m'affichait des options dont redemarrer en mode sans echec, mais le clavier ne marchait pas (entrer et fleches notamment), alors que l'option par défaut etait 'redemarrer windows normalement', ce qui m'amenait au bout des 20 secondes au meme point (le trait blanc) que dans les autres demarrages.
Au bout d'une 20ene d'essais, windows a finalement redemarré normalement, mais je ne crois pas avoir fait quelque chose de différent des autres fois.

Merci de m'aider à resoudre ce probleme rapidement et a faire en sorte que ce probleme ne se reproduise plus, car à présent j'ai peur d'eteindre/redemarrer mon ordinateur, d'autant plus que c'est mon seul ordinateur et que je n'ai aucun autre moyen de vous contacter (sans compter que certains fichiers sont importants et uniques).

sKe69 · Answer

heu .... c'est normal que windows ne se relancais pas de suite car il allait entamer la phase de vérifications des erreurs ! 

ce qui dure un moment avant l'arriver du bureau .... tu as donc fais un reset forcé alors que j'avais bien spécifier :

" Attention : ne pas toucher au PC pendant qu'il travaille ! "

et 

" Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal "


Dis moi ... tu es encore plus dangereux que les virus toi ? .... :))))



redémarres ton PC ... pas le choix ( fais des saugeardes avant aux cas ou , mais normalement cela devrais pas poser de prb ) .

Hollymc · Answer

Attends j'ai pas tout bien compris tu peux expliciter davantage s'il te plait ? Notamment : 
A quel moment j'ai reset trop vite ? Tout le temps, juste la premiere fois ? Cette fois-ci, je dois egalement refaire reparer les erreurs, ou je redemarre directement ? Au bout de combien de temps puis-je considerer qu'il y a un probleme et que je dois reset ? Si le probleme se reproduit, que puis-je faire pour reussir a faire remarcher windows ?etc.

remarques : J'ai un mot de passe sur ma session, donc ce qui apparait d'habitude, ce n'est pas le bureau, mais un fond bleu où on me demande de saisir mon mot de passe (est-ce que ça a une influence?). Sinon, il y a divers messages qui apparaissent lors du demarrage, l'un qui dit que la memoire vive est en train de charger (en gros), le suivant qui parle de dual bios et de lecteurs dvd, le suivant qui parle de PCI devices, le suivant qui a un trait blanc (c'est la que le demarrage se bloquait), et le dernier est l'endroit ou on me demande mon mot de passe. Il y a peut-etre d'autres etapes qui sont affichées à l'écran mais que je n'ai pas le temps de lire.
Par ailleurs, si on veut demarrer en mode sans echec (ce que je n'arrive semble-t-il toujours pas à faire), c'est à quelle étape, parmi celles précitées, que je dois appuyer sur F8 ? Dois-je appuyer sur Verr.F en meme temps, ou avant, ou dois-je ne pas appuyer dessus ? Est-ce que la diode pour Verr.F est sensée etre allumée quand j'appuie sur F8, quitte a l'allumer à la fermeture de windows ? Mon clavier est un logitech elite keyboard.

Merci pour les reponses.

sKe69 · Answer

redémarres ton PC ,


entre ton mots de passe quand celui-ci te sera demandés .... et laisses faire ...


c'est à quelle étape, parmi celles précitées, que je dois appuyer sur F8 ? Dois-je appuyer sur Verr.F en meme temps, ou avant, ou dois-je ne pas appuyer dessus ? Est-ce que la diode pour Verr.F est sensée etre allumée quand j'appuie sur F8, quitte a l'allumer à la fermeture de windows ?

je ne t'ai pas demander de redémarrer en mode sans échec ou quoi que se soit ! ... ;)

donc ne touche a rien ... hors mis si tu dois rentrer ton mots de passe si on te le demande ....

Hollymc · Answer

D'accord, je vais redemarrer mon pc. Mais avant, par securité, peux-tu quand meme s'il te plait repondre aux questions que j'ai posées (ne serait-ce que pour ma culture generale) ?

sKe69 · Answer

Cette fois-ci, je dois egalement refaire reparer les erreurs, ou je redemarre directement ?

--> redémarre simplement pour le moment ... il est possible que la réparation des erreurs soit encore programmé ... mais comme tu as redémarrer plusieurs fois le PC " à la sauvage " , possible que se soit anulé ...

Au bout de combien de temps puis-je considerer qu'il y a un probleme et que je dois reset ?
si ton écran reste figé avec un curseur , que tu ne peux rien tapper (mot de passe par exemple) et que ce dernier ne travail pas ou si il fait un bruit "répétitif" .... temps : au delat de 10 min dans ces circonstances , tu coupes et retentes ta chance ... ;) 


( -> si tu ne sens pas le coup , fait des sauvegardes )

Hollymc · Answer

ok, merci pour la réponse. Et pour les autres questions ?

sKe69 · Answer

J'ai un mot de passe sur ma session, donc ce qui apparait d'habitude, ce n'est pas le bureau, mais un fond bleu où on me demande de saisir mon mot de passe 

--> logique , si cela ce représente , rentre ton mot de passe ... ^^'

Sinon, il y a divers messages qui apparaissent lors du demarrage, l'un qui dit que la memoire vive est en train de charger (en gros), le suivant qui parle de dual bios et de lecteurs dvd, le suivant qui parle de PCI devices

c'est le démarrage du PC ,c'est après qu'il attaque la vérifes des erreurs normalement ( plusieur étapes avec le % effectué qui défile ) ... mais bon , pas dis que tu passe par cela maintenant ...

Hollymc · Answer

J'ai redemarré. Il n'y a pas eu plusieurs etapes, ni un % qui defile, mais le trait blanc clignotant a bien duré 30 secondes... je fais quoi ?

Hollymc · Answer

Ou bien c'etait une petite blagounette, ou bien je n'ai pas été assez clair ^^'.
Ce que je voulais dire, c'est que j'ai redémarré, et que tout c'est bien passé (si ce n'est que le trait blanc a duré un peu longtemps à mon gout), j'ai donc pu taper mon mot de passe et c'est pourquoi je peux ecrire sur internet :-).

sKe69 · Answer

A bon .... attends  je rigole un coup : hihhihhiihiiii .... =)


Sérieusement tu m'as fais peur .... reprends à la vérifiquation des erreurs si possible .... un tuto :
https://www.pcastuces.com/pratique/windows/verifier_disque_dur/page3.htm


et tiens moi au courrant ....

Hollymc · Answer

Mon ordinateur etait resté allumé cette nuit, et quand je me suis reveille, il avait un ecran bleu dont j'avais deja parlé une fois (windows a detecte une erreur et etc...). Pourquoi ? Mon ordinateur a l'air d'avoir des problemes encore plus graves (problemes windows) que precedemment (problemes de pub) :'(. Comment reparer tout ça ?

sKe69 · Answer

Salut,

"problemes de pub" ---> non c'était beaucoup plus grave que cela malhereusement ... le "rogue" qui infectait ton PC est une vraie plaie .... Il a surement endomagé ton systéme plus profondément que je ne pensais .... sans parlé des arrèt suavage que tu lui a fait subir ... 


As tu le CD de Windows original ? ....

Hollymc · Answer

Non je ne l'ai pas sur moi. Pourquoi en aurais-je besoin ?
Concrètement, je dois faire quoi maintenant pour réparer tout ça ?

sKe69 · Answer

Avoir un cd original de windows ( SP2 ) pour faire cette manipe :

http://www.informatruc.com/reparer-windows-xp/

Hollymc · Answer

Bon, mais pour l'instant, je peux pas faire ça. A part ça, que puis-je faire ?

sKe69 · Answer

Pas grand chose d'autre car les réparations des erreurs et la défrague n'on pas stabiliser le systéme ...

Hollymc · Answer

J'ai le cd windows xp, et quand j'appuie sur F12 boot menu, un message apparait.
Je dois naviguer avec les fleches et appuyer sur entrer sur le device avec lequel je souhaite booter.
Mais le clavier ne marche pas !! donc je suis obligé de reset l'ordinateur.
Comment m'en sortir ?

PS : je pense que c'est la meme raison qui fait que je ne peux pas passer en demarrage sans echec, le clavier ne doit sans doute pas marcher à ce moment là du demarrage.
J'aurais peut etre une explication : a cette etape du demarrage, l'ordinateur n'a pas encore activé les ports usb, et mon clavier est branché sur un port usb.

sKe69 · Answer

Salut,


 a cette etape du demarrage, l'ordinateur n'a pas encore activé les ports usb, et mon clavier est branché sur un port usb


c'est sûrement cela ... procure toi un clavier avec un branchement "traditionnel" et retente le coup ...


tiens moi au courant ....

Virus antispywareXP 2009

96 réponses

Votre réponse

Discussions similaires

Newsletters