Rapport HiJackThis

effio -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai visité ce forum après avoir lancé une recherche google sur "virus alert! sur la barre d'etat cote horloge".
J'ai suivi les indications et j'ai donc téléchargé et installé le fichier HiJackThis.exe comme cela se doit.
Je suppose donc que je pourrai avoir de l'aide en envoyant le fichier de rapport .log dont voici le contenu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:03: VIRUS ALERT!, on 03/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Fichiers communs\Symantec Shared\NMain.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
C:\Program Files\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=explorer.exe 
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {0316CB64-F672-4F5F-BBDD-D93FE7931F09} - C:\WINDOWS\system32\geBrsQhh.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {224933BF-1890-44F7-96FA-0A41B1F55F76} - C:\WINDOWS\system32\hgGvWMFw.dll (file missing)
O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: bkqxdons - {BF54CDC2-E0D2-4C75-8BB5-CF71F1DD2AE5} - C:\WINDOWS\TEMP\ac8zt2\bkqxdons.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [00cb3060] rundll32.exe "C:\WINDOWS\system32\nscvaxmh.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: hgGvWMFw - hgGvWMFw.dll (file missing)
O21 - SSODL: vwnskbot - {DDD613B9-1E7A-4FEA-A8EF-574D35260377} - C:\WINDOWS\vwnskbot.dll (file missing)
O21 - SSODL: qnflkotm - {E6B4FA97-1D2C-4EE9-85E6-3466A90E206C} - \qnflkotm.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 11016 bytes


A priori je ne sais pas comment resoudre le problème (enlever VIRUS ALERT! des dates), j'ose espérer que quelqu'un pourra m'aider avec les informations que j'ai fournies.
Merci d'avance.
Configuration: Windows XP
Internet Explorer 7.0

21 réponses

  • 1
  • 2
  1. InfernO.vir
     
    Bonjour, infection frequente,

    -- Télécharge SmitfraudFix de S!Ri, balltrap34 et moe31
    (Si tu as Norton Antivirus ou NOD32, désactive le)

    -- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

    -- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (le .cmd peut ne pas être présent)

    -- Choisis l'option 1 et appuie sur Entrée

    -- Réponds o (Oui) aux deux questions suivantes si elles sont posées

    -- Un rapport sera généré sauvegarde le dans un dossier

    -- Copie/colle le contenu du rapport ici
    1
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut,


      je te laisse faire .... ;)



      Pour suivre ....
      0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    bien infecté ....

    commences par ceci :

    Télécharges SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Installes le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnectes toi, fermes toute tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    Utilisation ---> option 1 / Recherche :
    Double cliques sur l'icône "Smitfraudfix.exe" et sélectionnes 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Postes le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

    1
    1. effio_ Messages postés 10 Statut Membre
       
      merci pour l'aide, je suis en train de faire le telechargement du fichier indiqué (ma machine rame énormement depuis l'infection donc...)
      0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien .... pour avancer car il reste encore du boulot ... ^^

    1- Télécharges : - CCleaner
    https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "francais" en langue .
    -avant de cliquer sur le bouton "installer", décoches toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    ! déconnectes toi et fermes toutes applications en cours !
    * vas dans "nettoyeur" : fait analyse puis nettoyage
    * vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    2- Désactiver le redémarrage automatique :

    A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
    Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

    B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
    C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
    D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

    puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

    Conseil : laisses ces paramètres par la suite ...

    3- Télécharges MalwareByte's :
    ici ftp://ftp.commentcamarche.com/download/mbam-setup.exe
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installes le ( choisis bien "francais" ; ne modifies pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharges le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasses le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    https://www.androidworld.fr/
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnectes toi et fermes toutes applications en cours !

    * Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis pour analyse ...

    1
  4. InfernO.vir
     
    Slt sKe69,

    Merci tu peut aider si jamais tu voit que j'ai des faiblesses ou si je fais quelques erreurs
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. effio_ Messages postés 10 Statut Membre
     
    J'ai installé SmitfraudFix et j'ai exécuté.
    Voici le rapport.

    SmitFraudFix v2.371

    Rapport fait à 12:15:38,83, 03/11/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    [!] Suspicious: qnflkotm.dll
    SSODL: qnflkotm - {E6B4FA97-1D2C-4EE9-85E6-3466A90E206C}

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"="C:\\PROGRA~1\\Google\\GOOGLE~2\\GOEC62~1.DLL"
    "LoadAppInit_DLLs"=dword:00000001

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Intel(R) PRO/1000 MT Network Connection - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 41.207.177.17
    DNS Server Search Order: 41.207.160.45

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=41.207.177.17 41.207.160.45

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    0
  7. InfernO.vir
     
    Re,

    -Relance smitfraudfix

    -Choisis option 2

    -Poste le rapport.

    __________________

    -Reposte un hijackthis apres stp.
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      C'est light comme canned ... -_-


      je précise un peut plus :

      Suite de la manipe ( nettoyage ), fais exactement ce qui suit :

      Impératif : Démarrer en mode sans echec .

      /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

      Comment aller en Mode sans échec :
      1) Redémarres ton ordi .
      2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
      3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
      4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] .
      5) Choisis ton compte habituel ( et pas Administrateur ).
      attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...

      * Double-cliques sur SmitfraudFix.exe

      * Sélectionnes 2 et presses "Entrée" dans le menu pour supprimer les fichiers responsables de l'infection.

      --> Si besion :

      * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presser Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

      ( Le correctif déterminera si le fichier wininet.dll est infecté.)

      * A la question: "Corriger le fichier infecté ?" répondre O (oui) et presser Entrée
      pour remplacer le fichier corrompu.

      * Un redémarrage sera demandé pour terminer la procédure de nettoyage .
      Si le redémarrage ne se fais pas , fais le manuellement ( c'est important ) .

      Le rapport se trouve à la racine de disque dur C .
      ( dans le fichier C:\rapport.txt )

      Postes moi ce dernier rapport accompagné, dans la même réponse, d'un nouveau rapport
      hijackthis ( fais en mode normal ) et attends les instructions ...

      0
  8. InfernO.vir
     
    En parlant de canned tu les trouves ou ? jme sers chez malekal moi.
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      le tout ce n'est pas de les trouvés, mais aussi de les comprendre ^^ et donc d'avoir tester l'outil en question : là le canned découle de lui-même ...

      Tu peux prendre celui là si tu veux ... tu le mais à ta sauce ect ....

      je te laisse continuer ... ;)


      ++
      0
  9. InfernO.vir
     
    Tu insinues quoi la ? que je ne sais pas m'en servir ?
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      pas du tout ! ... mais quand tu testes l'outil toi même , tu vois exactement ce qui se passe et comment ce déroulent les opérations ... Donc il suffit de retranscrire par écrit et tu fais ton propre canned ... voilou ... ;)
      0
  10. InfernO.vir
     
    Ah d'accord, je l'avais pas compris comme ca, disons qu'il faut que je fasse pleins de canneds pour ensuite les enregistrer pour les avoirs a portées de mains!
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      exactement ... :)
      0
  11. effio_ Messages postés 10 Statut Membre
     
    Voilà j'ai fait les tests dont voici les resultats

    Rapport SmitFraudFix:

    SmitFraudFix v2.371

    Rapport fait à 14:19:01,64, 03/11/2008
    Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri
    \qnflkotm.dll deleted.

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

    AntiXPVSTFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer=41.207.177.17,41.207.160.45
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=41.207.177.17 41.207.160.45
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=41.207.177.17 41.207.160.45

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Rapport HiJackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:28:10, on 03/11/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    F2 - REG:system.ini: Shell=explorer.exe
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {224933BF-1890-44F7-96FA-0A41B1F55F76} - C:\WINDOWS\system32\hgGvWMFw.dll (file missing)
    O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: (no name) - {8002A256-D45E-4041-BF73-6EE17BC7A5D1} - C:\WINDOWS\system32\geBrsQhh.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: bkqxdons - {BF54CDC2-E0D2-4C75-8BB5-CF71F1DD2AE5} - C:\WINDOWS\TEMP\ac8zt2\bkqxdons.dll (file missing)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [00cb3060] rundll32.exe "C:\WINDOWS\system32\nscvaxmh.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: hgGvWMFw - hgGvWMFw.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  12. effio_ Messages postés 10 Statut Membre
     
    Encore une chose, j'ai aussi remarqué depuis que j'ai été infecté des raccourcis sur mon bureau, ils portent les noms suivant: Malware Defender, Protect Your Privacy, System Error Fixer. En essayant de les supprimer, ils reapparaissent au prochain demarrage.
    Aussi, le parfeu Windows signale que les misses à jour automatiques sont désactivées mais impossible de remettre dans le bon état. Dans panneau de configuration je l'ai activé mais le message apparait toujours.

    0
  13. effio_ Messages postés 10 Statut Membre
     
    Bonjour, voilà les resultats des tests

    Rapport Mbam:

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1360
    Windows 5.1.2600 Service Pack 3

    03/11/2008 20:36:43
    mbam-log-2008-11-03 (20-36-33).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 135179
    Temps écoulé: 2 hour(s), 2 minute(s), 18 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 2
    Clé(s) du Registre infectée(s): 13
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 19

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\geBrsQhh.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\nscvaxmh.dll (Trojan.Vundo.H) -> No action taken.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{224933bf-1890-44f7-96fa-0a41b1f55f76} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggvwmfw (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{224933bf-1890-44f7-96fa-0a41b1f55f76} (Trojan.Vundo.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{eba33ebf-5966-48e3-b6ee-14c89c92b8a8} (Trojan.Vundo.H) -> No action taken.
    HKEY_CLASSES_ROOT\CLSID\{eba33ebf-5966-48e3-b6ee-14c89c92b8a8} (Trojan.Vundo.H) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eba33ebf-5966-48e3-b6ee-14c89c92b8a8} (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
    HKEY_CLASSES_ROOT\bkqxdons.bfno (Trojan.FakeAlert) -> No action taken.
    HKEY_CLASSES_ROOT\bkqxdons.toolbar.1 (Trojan.FakeAlert) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\00cb3060 (Trojan.Vundo.H) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.Agent) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebrsqhh -> No action taken.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebrsqhh -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

    Dossier(s) infecté(s):
    C:\Program Files\barExam (Trojan.Agent) -> No action taken.

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\hgGvWMFw.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\geBrsQhh.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\hhQsrBeg.ini (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\hhQsrBeg.ini2 (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\dpjlkkqr.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\rqkkljpd.ini (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\newqcxcp.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\pcxcqwen.ini (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\nscvaxmh.dll (Trojan.Vundo.H) -> No action taken.
    C:\WINDOWS\system32\hmxavcsn.ini (Trojan.Vundo.H) -> No action taken.
    C:\Program Files\barExam\Executor.exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Administrateur\Bureau\Protect Your Privacy.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Administrateur\Bureau\Malware Defender.url (Rogue.Link) -> No action taken.
    C:\Documents and Settings\Administrateur\Bureau\System Error Fixer.url (Rogue.Link) -> No action taken.
    C:\WINDOWS\system32\ckvo.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\ckvo1.dll (Trojan.Agent) -> No action taken.
    C:\xih9.cmd (Trojan.Agent) -> No action taken.
    C:\WINDOWS\Temp\pwrmgr.exe (Trojan.FakeAlert) -> No action taken.

    Rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:55:22, on 04/11/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    F2 - REG:system.ini: Shell=explorer.exe
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {224933BF-1890-44F7-96FA-0A41B1F55F76} - C:\WINDOWS\system32\hgGvWMFw.dll (file missing)
    O2 - BHO: (no name) - {59A61724-187A-41C6-B45B-79A97A76131C} - C:\WINDOWS\system32\geBrsQhh.dll
    O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: bkqxdons - {BF54CDC2-E0D2-4C75-8BB5-CF71F1DD2AE5} - C:\WINDOWS\TEMP\ac8zt2\bkqxdons.dll (file missing)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [00cb3060] rundll32.exe "C:\WINDOWS\system32\nscvaxmh.dll",b
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKCU\..\Run: [kamsoft] C:\WINDOWS\system32\ckvo.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: hgGvWMFw - hgGvWMFw.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      Salut,

      tu n'as pas suivit la procédure correctement avec Malwarebyte ( aucune suppression ) !
      En plus tu t'es mit une nouvelle infection sur le dos ! ... :-/


      NE REFAIS PAS MALWAREBYTES MAINTENANT ! On va traiter la nouvelle infection avant ...


      Donc fais ce qui suit :


      Télécharges UsbFix ( de Chiquitine29 et Chimay8 ) sur ton bureau :

      http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

      ! Déconnectes toi d'internet et fermes toutes applications en cours !

      --> Double-cliques sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .

      Impératif :
      Branches toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

      --> Double-cliques sur le raccourci "UsbFix" qui est sur ton bureau pour lancer l'outil et laisses le travailler .

      --> Le pc va redémarrer .

      --> Une fois de retour à ton bureau , le rapport "UsbFix.txt" s'affiche .
      Fais un copier/coller de son contenu dans ta prochaine réponse pour analyse et attends la suite ....

      ( Note : le rapport UsbFix.txt est sauvegardé a la racine du disque dur > C:\UsbFix.txt )


      PS : Si le Bureau ne réapparait pas, presses Ctrl + Alt + Suppr , Onglet "Fichier"-> "Nouvelle tâche":
      tapes explorer.exe et valides .
      0
  14. effio_ Messages postés 10 Statut Membre
     
    Le lien pour UsbFix ne marche pas.
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      chez moi ça marche ....


      fais clique droit sur le lien / " enregistrer la cible sous ..." et choisis ton bureau comme destination ....


      dis moi si cela passe ....
      0
  15. effio_
     
    J'ai ressayé 3 fois, Internet Explorer me renvoie cette erreur:
    "Impossible d'établir une connexion avec le serveur"
    0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Tanpis .... on va procéder autrement ....

    refais Malwarebytes en laissant tes support amoviblible branchés au PC ( clé USB, DD externes , ect ... ) ... et cette fois fais la suppression des objets infectés détecté ! ....

    ! Déconnectes toi et fermes toutes applications en cours !

    * Lances Malwarebyte's .

    Fais un scan dit "complet" ( sélectionnes bien tous tes disks avant le scan ! ).

    --> Laisses le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifies que tous les objets infectés soient validés, puis cliques sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Postes le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) accompagné d'un nouvel hijackthis pour analyse ...

    0
  17. effio_ Messages postés 10 Statut Membre
     
    C'est fait

    Rapport Mbam:

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1360
    Windows 5.1.2600 Service Pack 3

    04/11/2008 14:33:37
    mbam-log-2008-11-04 (14-33-37).txt

    Type de recherche: Examen complet (C:\|D:\|G:\|)
    Eléments examinés: 135352
    Temps écoulé: 1 hour(s), 48 minute(s), 25 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 3
    Clé(s) du Registre infectée(s): 8
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 18

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\geBrsQhh.dll (Trojan.Vundo.H) -> Delete on reboot.
    C:\WINDOWS\system32\nscvaxmh.dll (Trojan.Vundo.H) -> Delete on reboot.
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59a61724-187a-41c6-b45b-79a97a76131c} (Trojan.Vundo.H) -> Delete on reboot.
    HKEY_CLASSES_ROOT\CLSID\{59a61724-187a-41c6-b45b-79a97a76131c} (Trojan.Vundo.H) -> Delete on reboot.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{59a61724-187a-41c6-b45b-79a97a76131c} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\00cb3060 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kamsoft (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\gebrsqhh -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebrsqhh -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    C:\Program Files\barExam (Trojan.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\geBrsQhh.dll (Trojan.Vundo.H) -> Delete on reboot.
    C:\WINDOWS\system32\hhQsrBeg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\hhQsrBeg.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\dpjlkkqr.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\rqkkljpd.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\newqcxcp.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\pcxcqwen.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\nscvaxmh.dll (Trojan.Vundo.H) -> Delete on reboot.
    C:\WINDOWS\system32\hmxavcsn.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ckvo.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
    C:\Program Files\barExam\Executor.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Administrateur\Bureau\Protect Your Privacy.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Administrateur\Bureau\Malware Defender.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Administrateur\Bureau\System Error Fixer.url (Rogue.Link) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Delete on reboot.
    C:\WINDOWS\system32\ckvo1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\xih9.cmd (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\WINDOWS\Temp\pwrmgr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 14:38:25, on 04/11/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    F2 - REG:system.ini: Shell=explorer.exe
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {224933BF-1890-44F7-96FA-0A41B1F55F76} - (no file)
    O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: (no name) - {BF54CDC2-E0D2-4C75-8BB5-CF71F1DD2AE5} - (no file)
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: hgGvWMFw - hgGvWMFw.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ....

    1- supprimes tout ce qui se trouve dans la quarantaine de MBAM ( via celle-ci ).

    2- refais un coup de CCleaner (registre compris ).

    3- fais exactement ce qui suit :

    Télécharges ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! Déconnectes toi,fermes tes applications en cours et DESACTIVES TOUTES TES DEFENSES (anti-virus, guardes anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :
    double-cliques sur l'icône "combofix.exe" pour lancer l'outil .

    Appuyes sur la touche Y (Yes) pour démarrer le scan .

    Notes importantes :
    -> n'utilises pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisses le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : cliques sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée dans: C:\Combofix.txt

    Postes le rapport Combofix accompagné d'un nouveau rapport hijackthis pour analyse ...
    0
  19. effio_ Messages postés 10 Statut Membre
     
    Voilà les résultats

    Fichier Combofix.txt:

    ComboFix 08-11-03.06 - Administrateur 2008-11-04 17:35:02.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.253 [GMT 0:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    c:\documents and settings\Administrateur\Application Data\Adobe\crc.dat
    c:\documents and settings\Administrateur\Application Data\Adobe\Player.exe.bak
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    c:\windows\system32\aeoiiiwy.ini
    c:\windows\system32\Cache
    c:\windows\system32\fl32733.dll
    c:\windows\system32\jurxglxl.ini
    c:\windows\system32\omjsjtkl.ini
    c:\windows\system32\wlbridks.ini
    c:\windows\system32\yfgjedql.ini
    c:\windows\Temp\5.exe
    D:\Autorun.inf
    D:\xih9.cmd

    ----- BITS: Il y a peut-être des sites infectés -----

    hxxp://premium.virginmega.fr
    hxxp://78.157.143.163
    hxxp://www.lovelypornovideo.net
    hxxp://lovelypornovideo.net
    hxxp://78.157.143.198
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-04 au 2008-11-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-11-04 09:33 . 2008-11-04 09:33 <REP> d-------- c:\program files\CCleaner
    2008-11-03 16:40 . 2008-11-03 16:40 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-11-03 16:40 . 2008-11-03 16:40 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-11-03 16:40 . 2008-11-03 16:40 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
    2008-11-03 16:40 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-11-03 16:40 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-11-03 12:16 . 2008-11-03 14:19 2,376 --a------ c:\windows\system32\tmp.reg
    2008-11-03 12:09 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe
    2008-11-03 12:09 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe
    2008-11-03 12:09 . 2008-09-08 22:38 88,576 --a------ c:\windows\system32\AntiXPVSTFix.exe
    2008-11-03 12:09 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe
    2008-11-03 12:09 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\o4Patch.exe
    2008-11-03 12:09 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe
    2008-11-03 12:09 . 2008-10-10 07:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe
    2008-11-03 12:09 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe
    2008-11-03 12:09 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe
    2008-11-03 12:09 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe
    2008-11-03 12:09 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe
    2008-11-03 09:39 . 2008-11-03 10:02 <REP> d-------- c:\program files\Trend Micro
    2008-10-31 18:06 . 2008-10-31 18:06 <REP> d-------- c:\windows\IIS Temporary Compressed Files
    2008-10-31 18:01 . 2001-08-23 15:46 24,340 --a------ c:\windows\system32\smtpctrs.ini
    2008-10-31 18:01 . 2001-08-23 17:47 7,168 --a------ c:\windows\system32\snprfdll.dll
    2008-10-31 18:01 . 2001-08-23 17:47 7,168 --a--c--- c:\windows\system32\dllcache\EXCH_snprfdll.dll
    2008-10-31 17:58 . 2004-08-05 12:00 9,216 --a--c--- c:\windows\system32\dllcache\wamps51.dll
    2008-10-28 15:48 . 2003-03-18 21:20 1,060,864 --a------ c:\windows\system32\MFC71.dll
    2008-10-28 15:48 . 2003-03-18 20:14 499,712 --a------ c:\windows\system32\MSVCP71.dll
    2008-10-28 15:48 . 2003-02-21 04:42 348,160 --a------ c:\windows\system32\MSVCR71.dll
    2008-10-27 01:20 . 2008-10-27 01:20 0 --a------ c:\windows\system32\yfgjedql.tmp
    2008-10-24 11:14 . 2008-10-24 11:14 20,986 --a------ c:\windows\Appdbb.config
    2008-10-24 06:43 . 2008-10-15 16:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
    2008-10-22 19:07 . 2008-04-13 19:33 159,232 --a------ c:\windows\system32\ptpusd.dll
    2008-10-22 19:07 . 2008-04-13 11:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys
    2008-10-22 19:07 . 2008-04-13 11:45 15,104 --a--c--- c:\windows\system32\dllcache\usbscan.sys
    2008-10-22 19:07 . 2001-08-23 17:47 5,632 --a------ c:\windows\system32\ptpusb.dll
    2008-10-21 21:47 . 2008-10-21 21:47 244 --ah----- C:\sqmnoopt01.sqm
    2008-10-21 21:47 . 2008-10-21 21:47 232 --ah----- C:\sqmdata01.sqm
    2008-10-16 17:53 . 2008-08-14 13:23 2,191,232 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
    2008-10-16 17:53 . 2008-08-14 13:23 2,147,328 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
    2008-10-16 17:53 . 2008-08-14 13:23 2,068,096 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
    2008-10-16 17:53 . 2008-08-14 13:23 2,025,984 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
    2008-10-16 13:49 . 2008-09-08 10:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
    2008-10-16 13:48 . 2008-09-15 15:26 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys
    2008-10-16 12:48 . 2008-10-16 12:48 <REP> d-------- c:\documents and settings\All Users\Application Data\CyberLink
    2008-10-16 12:48 . 2008-10-16 12:48 <REP> d-------- c:\documents and settings\Administrateur\Application Data\CyberLink
    2008-10-16 12:02 . 2008-10-16 12:02 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Ahead
    2008-10-16 11:56 . 2008-10-22 10:01 116 --a------ c:\windows\NeroDigital.ini
    2008-10-16 11:52 . 2008-10-28 11:02 <REP> d-------- c:\program files\Fichiers communs\Ahead
    2008-10-15 15:43 . 2008-10-15 15:43 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2008-10-15 15:10 . 2008-10-15 15:23 <REP> d-------- c:\program files\Yahoo!
    2008-10-15 15:10 . 2008-10-15 15:30 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo!
    2008-10-14 13:37 . 2008-10-28 11:09 <REP> d-------- c:\program files\Fichiers communs\Real
    2008-10-14 13:35 . 2008-10-14 13:35 <REP> d-------- c:\program files\Google
    2008-10-08 22:42 . 2008-11-03 17:08 <REP> d-------- c:\program files\Windows Media Connect 2
    2008-10-07 17:13 . 2008-10-07 17:14 <REP> d-------- c:\program files\Windows Live Toolbar
    2008-10-07 17:13 . 2008-10-07 17:13 <REP> d-------- c:\program files\Windows Live Favorites
    2008-10-07 17:04 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\system32\d3dx9_32.dll
    2008-10-07 17:02 . 2008-10-07 17:02 <REP> d-------- c:\program files\Microsoft SQL Server Compact Edition
    2008-10-07 15:55 . 2008-10-07 15:56 <REP> d-------- c:\documents and settings\Administrateur\Contacts
    2008-10-07 15:53 . 2008-10-07 15:53 <REP> d----c--- c:\windows\system32\DRVSTORE
    2008-10-07 15:53 . 2008-10-07 15:53 268 --ah----- C:\sqmdata00.sqm
    2008-10-07 15:53 . 2008-10-07 15:53 244 --ah----- C:\sqmnoopt00.sqm
    2008-10-07 15:25 . 2008-10-14 09:03 <REP> d-------- c:\program files\Windows Live
    2008-10-07 15:25 . 2008-10-07 15:28 <REP> d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller
    2008-10-07 15:25 . 2008-10-07 15:25 <REP> d-------- c:\documents and settings\All Users\Application Data\WLInstaller

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-10-24 19:03 --------- d-----w c:\program files\Fichiers communs\Symantec Shared
    2008-10-17 22:35 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
    2008-10-08 13:48 --------- d-----w c:\program files\Norton AntiVirus
    2008-09-23 11:44 --------- d-----w c:\program files\VirginMega
    2008-09-23 11:44 --------- d-----w c:\documents and settings\All Users\Application Data\Downloaded Installations
    2008-09-20 09:31 --------- d-----w c:\program files\Microsoft CAPICOM 2.1.0.2
    2008-09-19 19:32 --------- d-----w c:\program files\MSDN
    2008-09-19 18:52 --------- d-----w c:\program files\Microsoft Works
    2008-09-19 18:51 --------- d-----w c:\program files\MSBuild
    2008-09-19 18:38 --------- d-----w c:\program files\Microsoft Visual Studio 8
    2008-09-19 18:19 --------- d-----w c:\program files\Fichiers communs\Merge Modules
    2008-09-19 09:13 --------- d-----w c:\program files\Microsoft SQL Server 2005 Mobile Edition
    2008-09-19 09:13 --------- d-----w c:\program files\Microsoft Device Emulator
    2008-09-19 09:00 --------- d-----w c:\program files\HTML Help Workshop
    2008-09-19 08:48 --------- d-----w c:\program files\Fichiers communs\Business Objects
    2008-09-19 08:45 --------- d-----w c:\program files\Sybase
    2008-09-19 08:45 --------- d-----w c:\documents and settings\All Users\Application Data\PreEmptive Solutions
    2008-09-19 08:44 --------- d-----w c:\program files\CE Remote Tools
    2008-09-19 08:43 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-09-19 08:41 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2008-09-18 21:22 --------- d-----w c:\program files\Microsoft SQL Server
    2008-09-18 21:07 --------- d-----w c:\program files\SQLXML 4.0
    2008-09-18 21:05 --------- d-----w c:\program files\Microsoft.NET
    2008-09-18 20:52 --------- d-----w c:\program files\Microsoft Analysis Services
    2008-09-17 16:53 --------- d-----w c:\program files\Fichiers communs\Adobe
    2008-09-17 09:09 --------- d-----w c:\program files\SymNetDrv
    2008-09-17 09:09 --------- d-----w c:\program files\Symantec
    2008-09-16 17:37 --------- d-----w c:\program files\WinHTTrack
    2008-09-16 08:24 --------- d-----w c:\program files\SuperCopier2
    2008-09-09 15:20 --------- d-----w c:\program files\CyberLink
    2008-09-09 15:13 --------- d-----w c:\documents and settings\NetworkService\Application Data\Symantec
    2008-09-09 14:53 --------- d-----w c:\program files\Analog Devices
    2008-09-09 14:50 --------- d-----w c:\program files\Intel
    2008-09-09 14:48 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec
    2008-09-09 14:47 --------- d-----w c:\documents and settings\Administrateur\Application Data\Symantec
    2008-09-09 14:40 --------- d-----w c:\program files\microsoft frontpage
    2008-09-09 14:38 --------- d-----w c:\program files\Services en ligne
    2008-09-08 10:41 333,824 ----a-w c:\windows\system32\drivers\srv.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]
    "SuperCopier2.exe"="c:\program files\SuperCopier2\SuperCopier2.exe" [2005-03-13 1057280]
    "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-16 68856]
    "Messenger (Yahoo!)"="c:\program files\Yahoo!\Messenger\YahooMessenger.exe" [2008-09-19 4347120]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2006-04-04 71304]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-05-25 126976]
    "RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
    "LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
    "Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2008-09-17 95960]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-10-14 29744]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
    "ALUAlert"="c:\program files\Symantec\LiveUpdate\ALUNotify.exe" [2003-08-19 54424]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=

    R2 MsDtsServer;SQL Server Integration Services;c:\program files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [2005-10-14 199384]
    R2 MSOLAP$INST01;SQL Server Analysis Services (INST01);c:\program files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe [2005-10-14 14557912]
    R2 MSSQL$INST01;SQL Server (INST01);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [2005-10-14 28768528]
    S2 SQLAgent$INST01;SQL Server Agent (INST01);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE [2005-10-14 318680]
    S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-10-14 29744]
    S3 VSPerfDrv;Performance Tools Driver;c:\program files\Microsoft Visual Studio 8\Team Tools\Performance Tools\VSPerfDrv.sys [2006-12-02 48128]
    S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2006-12-02 2805000]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dbcd5fc-8330-11dd-89bf-000874fd3aac}]
    \Shell\AUTOPlay\coMmand - F:\kfmyoc.pif
    \Shell\AutoRun\command - F:\kfmyoc.pif
    \Shell\expLore\CoMmand - F:\kfmyoc.pif
    \Shell\OpeN\cOmMand - F:\kfmyoc.pif

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{af13ef4a-83c8-11dd-89c0-000874fd3aac}]
    \Shell\AutoRun\command - G:\xih9.cmd
    \Shell\explore\Command - G:\xih9.cmd
    \Shell\open\Command - G:\xih9.cmd

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b41377a0-a01b-11dd-89f0-000874fd3aac}]
    \Shell\AutoRun\command - F:\vxl.exe
    \Shell\explore\Command - F:\vxl.exe
    \Shell\open\Command - F:\vxl.exe
    .
    Contenu du dossier 'Tâches planifiées'

    2008-11-03 c:\windows\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
    - c:\progra~1\NORTON~1\Navw32.exe [2003-12-04 20:06]

    2008-11-04 c:\windows\Tasks\Symantec NetDetect.job
    - c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2003-08-19 19:03]

    2008-11-04 c:\windows\Tasks\User_Feed_Synchronization-{D0881D7C-A9AC-4554-AD61-87DE67283225}.job
    - c:\windows\system32\msfeedssync.exe [2007-08-13 18:36]

    2008-11-04 c:\windows\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job
    - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    BHO-{224933BF-1890-44F7-96FA-0A41B1F55F76} - (no file)
    ShellExecuteHooks-{224933BF-1890-44F7-96FA-0A41B1F55F76} - (no file)
    Notify-hgGvWMFw - hgGvWMFw.dll

    .
    ------- Examen supplémentaire -------
    .
    O8 -: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    O8 -: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 -: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    O17 -: HKLM\CCS\Interface\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-11-04 17:39:17
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]
    "ImagePath"="\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\mc22.tmp"
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Fichiers communs\Symantec Shared\CCSETMGR.EXE
    c:\program files\Fichiers communs\Symantec Shared\CCEVTMGR.EXE
    c:\windows\system32\inetsrv\inetinfo.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    c:\program files\Norton AntiVirus\navapsvc.exe
    c:\program files\CyberLink\Shared Files\RichVideo.exe
    c:\program files\Norton AntiVirus\SAVSCAN.EXE
    c:\program files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    c:\program files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    c:\program files\Windows Live\Messenger\usnsvc.exe
    c:\program files\Messenger\msmsgs.exe
    c:\windows\system32\notepad.exe
    .
    **************************************************************************
    .
    Heure de fin: 2008-11-04 17:51:22 - La machine a redémarré
    ComboFix-quarantined-files.txt 2008-11-04 17:51:03

    Avant-CF: 14 775 644 160 octets libres
    Après-CF: 15,054,376,960 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

    255 --- E O F --- 2008-10-24 09:00:41

    Rapport HJT:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 18:08:23, on 04/11/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\SuperCopier2\SuperCopier2.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Program Files\Norton AntiVirus\SAVScan.exe
    C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\explorer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\devenv.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Trend Micro\HijackThis\HJT.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Microsoft Web Test Recorder Helper - {62355041-605D-4469-84FD-5D66ED67A7E3} - C:\Program Files\Microsoft Visual Studio 8\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
    O8 - Extra context menu item: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - https://support.norton.com/sp/en/us/home/current/info
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5E03046C-E65E-48D9-8B7E-59ABCB30C701}: NameServer = 41.207.177.17,41.207.160.45
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    0
  20. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ... on avance ...

    avant de continuer , on va faire quelque petite vérifs ....

    1- Avoir accès aux fichiers cachés :

    Vas dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valides la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- Important :
    Branches toutes tes unités externes au PC ( DD externes , clé USB , lecteur mp3, ect...) mais sans les ouvrir !

    3- Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche :
    C:\windows\system32\dllcache\EXCH_snprfdll.dll

    Cliques sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copies le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    Fais de même pour :
    C:\windows\system32\dllcache\wamps51.dll
    C:\windows\system32\yfgjedql.tmp
    C:\windows\Appdbb.config
    F:\kfmyoc.pif
    G:\xih9.cmd
    F:\vxl.exe


    postes moi donc ces 7 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
    0
  21. effio_ Messages postés 10 Statut Membre
     
    Bonjour, voici les resultats ;-)

    1- C:\windows\system32\dllcache\EXCH_snprfdll.dll

    Fichier EXCH_snprfdll.dll reçu le 2008.11.04 19:34:24 (CET)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.11.4.3 2008.11.04 -
    AntiVir 7.9.0.10 2008.11.04 -
    Authentium 5.1.0.4 2008.11.04 -
    Avast 4.8.1248.0 2008.11.04 -
    AVG 8.0.0.161 2008.11.04 -
    BitDefender 7.2 2008.11.04 -
    CAT-QuickHeal 9.50 2008.11.04 -
    ClamAV 0.94.1 2008.11.04 -
    DrWeb 4.44.0.09170 2008.11.04 -
    eSafe 7.0.17.0 2008.11.04 -
    eTrust-Vet 31.6.6189 2008.11.04 -
    Ewido 4.0 2008.11.04 -
    F-Prot 4.4.4.56 2008.11.04 -
    F-Secure 8.0.14332.0 2008.11.04 -
    Fortinet 3.117.0.0 2008.11.04 -
    GData 19 2008.11.04 -
    Ikarus T3.1.1.45.0 2008.11.04 -
    K7AntiVirus 7.10.516 2008.11.04 -
    Kaspersky 7.0.0.125 2008.11.04 -
    McAfee 5423 2008.11.04 -
    Microsoft 1.4005 2008.11.04 -
    NOD32 3583 2008.11.04 -
    Norman 5.80.02 2008.11.04 -
    Panda 9.0.0.4 2008.11.04 -
    PCTools 4.4.2.0 2008.11.04 -
    Prevx1 V2 2008.11.04 -
    Rising 21.02.12.00 2008.11.04 -
    SecureWeb-Gateway 6.7.6 2008.11.04 -
    Sophos 4.35.0 2008.11.04 -
    Sunbelt 3.1.1777.2 2008.11.03 -
    Symantec 10 2008.11.04 -
    TheHacker 6.3.1.1.138 2008.11.04 -
    TrendMicro 8.700.0.1004 2008.11.04 -
    ViRobot 2008.11.4.1451 2008.11.04 -
    VirusBuster 4.5.11.0 2008.11.04 -

    Information additionnelle
    File size: 7168 bytes
    MD5...: 9d0a4f9d55206758e9212b1d557fe1d6
    SHA1..: b91d4e07b98455a8e53cb000c702267ae36a75f5
    SHA256: c111fecf43a0840b39ec957bbdf1649894e526afd1de04f4447741c131bd43d4
    SHA512: ee53f5afdc380f22e0ed2ee0516022aa49d48f595117d29e1e93f1de9c12e71e<BR>7d39260937f9931b7ae12a49346dbf596ea78d573c24318634f496885dfc8937
    PEiD..: -
    TrID..: File type identification<BR>Win64 Executable Generic (88.0%)<BR>Win32 Dynamic Link Library (generic) (7.8%)<BR>Generic Win/DOS Executable (2.0%)<BR>DOS Executable Generic (2.0%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x401adc<BR>timedatestamp.....: 0x3b7d83d8 (Fri Aug 17 20:51:36 2001)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xe2b 0x1000 5.95 3ea8dc6b6fefdbfa1d89e7daa0a37230<BR>.data 0x2000 0x13c 0x200 0.06 f02b0f84a006fd5668ce4b50b6e195c4<BR>.rsrc 0x3000 0x3e0 0x400 3.25 c74adba660b0dc34d9f8f26aa26aabc3<BR>.reloc 0x4000 0xbe 0x200 2.08 a082d8fe09677cc1f78490c89ed7e34e<BR><BR>( 3 imports ) <BR>> msvcrt.dll: free, _adjust_fdiv, malloc, _initterm, wcsncpy, __2@YAPAXI@Z, __3@YAXPAX@Z, _ultow, wcslen, wcscpy, wcscat<BR>> STAXMEM.dll: ExchMHeapDestroy, ExchMHeapCreate<BR>> KERNEL32.dll: lstrcpyW, lstrcatW, UnmapViewOfFile, OpenFileMappingW, MapViewOfFile, CloseHandle, DisableThreadLibraryCalls<BR><BR>( 3 exports ) <BR>NTFSDrvClose, NTFSDrvCollect, NTFSDrvOpen<BR>

    2- C:\windows\system32\dllcache\wamps51.dll

    Fichier wamps51.dll_ reçu le 2008.11.04 19:53:07 (CET)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.11.4.3 2008.11.04 -
    AntiVir 7.9.0.10 2008.11.04 -
    Authentium 5.1.0.4 2008.11.04 -
    Avast 4.8.1248.0 2008.11.04 -
    AVG 8.0.0.161 2008.11.04 -
    BitDefender 7.2 2008.11.04 -
    CAT-QuickHeal 9.50 2008.11.04 -
    ClamAV 0.94.1 2008.11.04 -
    DrWeb 4.44.0.09170 2008.11.04 -
    eSafe 7.0.17.0 2008.11.04 -
    eTrust-Vet 31.6.6189 2008.11.04 -
    Ewido 4.0 2008.11.04 -
    F-Prot 4.4.4.56 2008.11.04 -
    F-Secure 8.0.14332.0 2008.11.04 -
    Fortinet 3.117.0.0 2008.11.04 -
    GData 19 2008.11.04 -
    Ikarus T3.1.1.45.0 2008.11.04 -
    K7AntiVirus 7.10.516 2008.11.04 -
    Kaspersky 7.0.0.125 2008.11.04 -
    McAfee 5423 2008.11.04 -
    Microsoft 1.4005 2008.11.04 -
    NOD32 3583 2008.11.04 -
    Norman 5.80.02 2008.11.04 -
    Panda 9.0.0.4 2008.11.04 -
    PCTools 4.4.2.0 2008.11.04 -
    Prevx1 V2 2008.11.04 -
    Rising 21.02.12.00 2008.11.04 -
    SecureWeb-Gateway 6.7.6 2008.11.04 -
    Sophos 4.35.0 2008.11.04 -
    Sunbelt 3.1.1777.2 2008.11.03 -
    Symantec 10 2008.11.04 -
    TheHacker 6.3.1.1.138 2008.11.04 -
    TrendMicro 8.700.0.1004 2008.11.04 -
    VBA32 3.12.8.9 2008.11.03 -
    ViRobot 2008.11.4.1451 2008.11.04 -
    VirusBuster 4.5.11.0 2008.11.04 -

    Information additionnelle
    File size: 9216 bytes
    MD5...: 6cbf9f3ad28c5855b3e7a1ecdfb33994
    SHA1..: d86c3fe6650933ba5494b9190737b4ee5cb9d3b4
    SHA256: 1f3670d1e9b55c3c16dc9ada64c48706a3569050ad0daf6e97d1179f2554b896
    SHA512: 43bf67cc96c929bc6904ebd2292c53113b3137322f10c678fbb94f48d52507bb<BR>0adf66207207eb74fb7afead5a49a180e5c529c7b9039edb8f85eb99bf3f943b
    PEiD..: -
    TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (65.4%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x5ab41f38<BR>timedatestamp.....: 0x3b853377 (Thu Aug 23 16:46:47 2001)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x141c 0x1600 4.71 f9954b251cad43140e094c8d20de5311<BR>.orpc 0x3000 0x54 0x200 1.36 57a93012064042f89f1cfc7f33fd186e<BR>.data 0x4000 0x15c 0x200 2.31 64bd9cdc3f337d7b0a350506a5b87fb9<BR>.rsrc 0x5000 0x3d0 0x400 3.24 883278f737274ebd8740d4e3dfd1cf2f<BR>.reloc 0x6000 0x146 0x200 3.70 ab7937422ff563d7450821f1dc4ce4c3<BR><BR>( 3 imports ) <BR>> msvcrt.dll: _adjust_fdiv, malloc, _initterm, free<BR>> KERNEL32.dll: DisableThreadLibraryCalls<BR>> RPCRT4.dll: IUnknown_QueryInterface_Proxy, IUnknown_AddRef_Proxy, IUnknown_Release_Proxy, CStdStubBuffer_QueryInterface, NdrOleFree, NdrOleAllocate, CStdStubBuffer_DebugServerRelease, NdrDllGetClassObject, NdrDllCanUnloadNow, NdrCStdStubBuffer_Release, NdrDllRegisterProxy, NdrDllUnregisterProxy, CStdStubBuffer_DebugServerQueryInterface, CStdStubBuffer_CountRefs, CStdStubBuffer_IsIIDSupported, CStdStubBuffer_Invoke, CStdStubBuffer_Disconnect, CStdStubBuffer_Connect, CStdStubBuffer_AddRef<BR><BR>( 5 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, GetProxyDllInfo<BR>

    3- C:\windows\system32\yfgjedql.tmp

    Pour celui-ci le fichier n'arrive pas à être chargé (je crois). Ce message est affiché sur une
    page vierge : "0 bytes size received / Se ha recibido un archivo vacio"

    4- C:\windows\Appdbb.config

    Fichier Appdbb.config reçu le 2008.11.05 09:39:55 (CET)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.11.5.3 2008.11.05 -
    AntiVir 7.9.0.10 2008.11.05 -
    Authentium 5.1.0.4 2008.11.04 -
    Avast 4.8.1248.0 2008.11.04 -
    AVG 8.0.0.161 2008.11.05 -
    BitDefender 7.2 2008.11.05 -
    CAT-QuickHeal 9.50 2008.11.04 -
    ClamAV 0.94.1 2008.11.05 -
    DrWeb 4.44.0.09170 2008.11.05 -
    eSafe 7.0.17.0 2008.11.04 -
    eTrust-Vet 31.6.6190 2008.11.05 -
    Ewido 4.0 2008.11.04 -
    F-Prot 4.4.4.56 2008.11.04 -
    F-Secure 8.0.14332.0 2008.11.05 -
    Fortinet 3.117.0.0 2008.11.05 -
    GData 19 2008.11.05 -
    Ikarus T3.1.1.45.0 2008.11.05 -
    K7AntiVirus 7.10.516 2008.11.04 -
    Kaspersky 7.0.0.125 2008.11.05 -
    McAfee 5424 2008.11.04 -
    Microsoft 1.4005 2008.11.05 -
    NOD32 3584 2008.11.05 -
    Norman 5.80.02 2008.11.04 -
    Panda 9.0.0.4 2008.11.05 -
    PCTools 4.4.2.0 2008.11.04 -
    Prevx1 V2 2008.11.05 -
    Rising 21.02.21.00 2008.11.05 -
    SecureWeb-Gateway 6.7.6 2008.11.05 -
    Sophos 4.35.0 2008.11.05 -
    Sunbelt 3.1.1783.2 2008.11.05 -
    Symantec 10 2008.11.05 -
    TheHacker 6.3.1.1.140 2008.11.05 -
    TrendMicro 8.700.0.1004 2008.11.05 -
    VBA32 3.12.8.9 2008.11.05 -
    ViRobot 2008.11.5.1452 2008.11.05 -
    VirusBuster 4.5.11.0 2008.11.04 -

    Information additionnelle
    File size: 20986 bytes
    MD5...: f0d3c30c48d2c24546e70e3189d08a31
    SHA1..: ab6f8516cde53da6eb8b136772ef62361f35ba69
    SHA256: 10756d6887898ac38ff0578f232dc7e2279ba24768e8462d1d2ba3919ad4ed44
    SHA512: 7f36eb005efb67efcbfcca5393779501f9c2fdd5d387f22f297267bb721a1a60<BR>3c2aa09fee11d8ad47ab5ec75aba75d98ea00d37b96f74bda6ee802521db9420
    PEiD..: -
    TrID..: File type identification<BR>Generic XML (ASCII) (62.5%)<BR>HyperText Markup Language (37.5%)
    PEInfo: -

    5- G:\xih9.cmd

    Fichier xih9.cmd reçu le 2008.11.05 09:50:25 (CET)

    Antivirus Version Dernière mise à jour Résultat
    AhnLab-V3 2008.11.5.3 2008.11.05 Win-Trojan/OnlineGameHack.104382
    AntiVir 7.9.0.10 2008.11.05 TR/Crypt.XPACK.Gen
    Authentium 5.1.0.4 2008.11.04 -
    Avast 4.8.1248.0 2008.11.04 Win32:Monga
    AVG 8.0.0.161 2008.11.05 PSW.OnlineGames_r.G
    BitDefender 7.2 2008.11.05 Packer.Malware.NSAnti.1
    CAT-QuickHeal 9.50 2008.11.04 Win32.Packed.Krap.b.3
    ClamAV 0.94.1 2008.11.05 Trojan.Magania-7894
    DrWeb 4.44.0.09170 2008.11.05 Trojan.PWS.Wsgame.4983
    eSafe 7.0.17.0 2008.11.04 Suspicious File
    eTrust-Vet 31.6.6190 2008.11.05 -
    Ewido 4.0 2008.11.04 -
    F-Prot 4.4.4.56 2008.11.04 -
    F-Secure 8.0.14332.0 2008.11.05 Trojan-GameThief.Win32.Magania.ajjf
    Fortinet 3.117.0.0 2008.11.05 -
    GData 19 2008.11.05 Packer.Malware.NSAnti.1
    Ikarus T3.1.1.45.0 2008.11.05 Trojan.Crypt.XPACK
    K7AntiVirus 7.10.516 2008.11.04 -
    Kaspersky 7.0.0.125 2008.11.05 Trojan-GameThief.Win32.Magania.ajjf
    McAfee 5424 2008.11.04 Generic PWS.ak
    Microsoft 1.4005 2008.11.05 PWS:Win32/Frethog.AJ
    NOD32 3584 2008.11.05 Win32/PSW.OnLineGames.NMY
    Norman 5.80.02 2008.11.04 -
    Panda 9.0.0.4 2008.11.05 -
    PCTools 4.4.2.0 2008.11.04 -
    Prevx1 V2 2008.11.05 Cloaked Malware
    Rising 21.02.21.00 2008.11.05 -
    SecureWeb-Gateway 6.7.6 2008.11.05 Trojan.Crypt.XPACK.Gen
    Sophos 4.35.0 2008.11.05 -
    Sunbelt 3.1.1783.2 2008.11.05 -
    Symantec 10 2008.11.05 W32.Gammima.AG
    TheHacker 6.3.1.1.140 2008.11.05 Trojan/Magania.ajjf
    TrendMicro 8.700.0.1004 2008.11.05 -
    VBA32 3.12.8.9 2008.11.05 Trojan-GameThief.Win32.Magania.aigw
    ViRobot 2008.11.5.1452 2008.11.05 -
    VirusBuster 4.5.11.0 2008.11.04 -

    Information additionnelle
    File size: 104382 bytes
    MD5...: 41ebec6352ab53b49b2d33c93302d8fa
    SHA1..: 4ff7c855e497758a32f5c31463a9b090e3756767
    SHA256: 348679822c9e0094588bee8274151c73825254eac6e37209830554ab6d926f7c
    SHA512: fbc68ec7ab8b1efbc420e017a30097bdf0f7e058b3ec474edcee857f2c40e143<BR>c9ae1b7becbb63fcc8e1ab596cfa37939f7160cb295194f5a602347cbb95290a
    PEiD..: -
    TrID..: File type identification<BR>Win32 Executable Generic (68.0%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4190bd<BR>timedatestamp.....: 0x4900192d (Thu Oct 23 06:26:53 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x18000 0xc00 0.24 a6b493be6dbf6e4ee5eabd221f7402f8<BR>.data 0x19000 0x18000 0x17400 7.85 460a393d38829a54567de22cfc44a73b<BR>.rsrc 0x31000 0x320f 0x13be 0.15 ce783cf3a4b29cef93ce523972c6342b<BR><BR>( 1 imports ) <BR>> KERNEL32.DLL: GetStringTypeExW, GetEnvironmentStringsA, GetVersionExA, DosPathToSessionPathA, DisableThreadLibraryCalls, LoadLibraryA, GetLogicalDriveStringsA, GlobalAlloc, CopyFileW, GetCommandLineA, FatalAppExitA, GetDefaultSortkeySize, GetCurrentProcess, GlobalAddAtomW, CreateDirectoryExW, CreateFileW<BR><BR>( 0 exports ) <BR>
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=BD02D18EBE9BDB20973701B26C02BE0017F8480B

    6- F:\kfmyoc.pif
    7-F:\vxl.exe

    Bizarement, lorsque je connecte mon lecteur mp4 (mon seul périphérique de stockage externe d'ailleurs), il utilise toujours
    les préfixes de racines suivants: G:\ et H:\ (G:\ pour sa mémoire interne et H:\ pour une mémoire SD amovible) ca m'etonne un peu de voir
    qu'il y a dans la liste des fichiers certains qui se trouveraient sur la racine F:\ Les autres lecteurs utilisent :
    C:\ et D:\ pour les partititions d'un disque dur, le lecteur CD prend D:\
    Bref, les deux derniers fichiers (6 et 7) n'ont pas pu etre chargés aussi.

    0
  • 1
  • 2