virus tres embettant help Résolu/Fermé

Question

Bonjour,
j ai un gros probleme
j ai chopé un virus qui se developpe de plus en plus vite
j ai des messages d erreur qui aparaisse et qui m envoi vers virus-remover dans le menu demarrer de windows je ne vois plus certaine barre comme panneau de conf, rechercher, executer. aider moi svp.
Je ne sais plus quoi faire.

Utilisateur anonyme · Answer

Salut, ===================POUR LES UTILISATEURS DE VISTA========================= =>< Désactive le « contrôle des comptes utilisateurs = UAC » (tu le réactiveras après ta désinfection): Ne pas oublier !! Désactiver l'UAC est nécessaire pour pouvoir faire fonctionner certains programmes sous Vista. - Vas dans Démarrer puis panneau de configuration - Double Clique sur l'icône "Comptes d'utilisateurs" - Clique ensuite sur désactiver et valide. =><>NOTE: =>mode avancé=> outils => résident Décocher la case résident "tea timer" Refermer Spybot. télécharge hijackthis -> enregistre la cible sous .... "le bureau" -> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation -> Clique sur Install ensuite sur "I Accept" -> Clique sur" Do a scan system and save log file" -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse ->Tuto hijackthis

diablo033 · Answer

Je suis sur xp pro

Utilisateur anonyme · Answer

Re,

télécharge hijackthis
-> enregistre la cible sous .... "le bureau"

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

->Tuto hijackthis

diablo033 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:09: VIRUS ALERT!, on 07/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\WINDOWS.1\System32\svchost.exe
C:\documents and settings\bernard.vincent\local settings\application data\ahere.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS.1\system32\rundll32.exe
C:\WINDOWS.1\system32\wscntfy.exe
C:\WINDOWS.1\system32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS.1\explorer.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: mstoanrd - {3A74A614-1657-4533-B1FE-DCFBA2895828} - C:\WINDOWS.1\mstoanrd.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [f4e9d776] rundll32.exe "C:\WINDOWS.1\system32\ijerriqv.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ahere] "c:\documents and settings\bernard.vincent\local settings\application data\ahere.exe" ahere
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS.1\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS.1\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: bpvzcn.dll
O21 - SSODL: fweqsvxo - {90391AA6-D5A3-4681-8CC6-D009A73C18BE} - C:\WINDOWS.1\fweqsvxo.dll
O21 - SSODL: mqxvbdwk - {42D459BD-851F-4363-89D7-42B8EEA008C6} - C:\WINDOWS.1\mqxvbdwk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS.1\Slave.exe (file missing)

Utilisateur anonyme · Answer

Re,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

• Appuie sur une touche pour commencer le processus de nettoyage.

• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

 TUTORIAL

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

diablo033 · Answer

[b]SDFix: Version 1.240 [/b]
Run by bernard on 07/11/2008 at 18:34

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Documents and Settings\bernard.VINCENT\Desktop\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File
Restoring Windows Product ID To Remove Fake Virus Alert
Restoring Time Format To Remove Fake Virus Alert
Restoring Default Start Menu

Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS.1\system32\awtuvUKB.dll - Deleted
C:\WINDOWS.1\EVDM.EXE - Deleted
C:\RSTRUI.EXE - Deleted
C:\Documents and Settings\bernard.VINCENT\Favorites\Malware Defender.url - Deleted
C:\Documents and Settings\bernard.VINCENT\Favorites\Protect Your Privacy.url - Deleted
C:\Documents and Settings\bernard.VINCENT\Favorites\System Error Fixer.url - Deleted
C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Temp\pwrmgr.exe.bat - Deleted
C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Temp\smchk.exe.bat - Deleted
C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Temp\windfr.exe.bat - Deleted
C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Temp\pwrmgr.exe - Deleted
C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Tempemovalfile.bat - Deleted





Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-07 18:45:54
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\WINDOWS.1\system32\usmt\migwiz.exe"="C:\WINDOWS.1\system32\usmt\migwiz.exe:*:Enabled:Files and Settings Transfer Wizard"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Messenger"
"C:\Documents and Settings\bernard.VINCENT\Desktop\Master.exe"="C:\Documents and Settings\bernard.VINCENT\Desktop\Master.exe:*:Disabled:Master"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\BERNAR~1.VIN\Desktop\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 18 Feb 2004        61,440 A..H. --- "C:\Program Files\MSN\msnupdate!@#@.exe"
Wed 21 Jan 2004       292,864 A..H. --- "C:\Program Files\MSN	xsrvc.dll"
Wed 21 Jan 2004       302,080 A..H. --- "C:\Program Files\MSN\unicows.dll"
Wed  5 Nov 2008             0 A..H. --- "C:\WINDOWS.1\SoftwareDistribution\Download\550d841de13098ccce98beef5ab9e667\BIT5.tmp"
Wed 29 Oct 2008             0 A..H. --- "C:\Documents and Settings\bernard.VINCENT\Desktop\SDFix\backups\movedfile.vir\SoftwareDistribution\Download\2af54949ef6051d62a22acc8e774eeac\BIT1.tmp"
Wed 23 Jan 2008             0 A..H. --- "C:\Documents and Settings\bernard.VINCENT\Desktop\SDFix\backups\movedfile.vir\SoftwareDistribution\Download\585dc2612ebcefc90e7dee4c276ee95e\BIT3.tmp"

[b]Finished![/b]

diablo033 · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:59: VIRUS ALERT!, on 07/11/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS.1\system32\wscntfy.exe
C:\WINDOWS.1\system32
otepad.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\WINDOWS.1\system32undll32.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\documents and settings\bernard.vincent\local settings\application data\ahere.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=D4322FEE7CF74A348CB9CE970F098EF5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: mstoanrd - {3A74A614-1657-4533-B1FE-DCFBA2895828} - C:\WINDOWS.1\mstoanrd.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [f4e9d776] rundll32.exe "C:\WINDOWS.1\system32\ijerriqv.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ahere] "c:\documents and settings\bernard.vincent\local settings\application data\ahere.exe" ahere
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.1\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Logitech\QuickCam\eReg.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS.1\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS.1\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.1\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O20 - AppInit_DLLs: bpvzcn.dll
O21 - SSODL: fweqsvxo - {90391AA6-D5A3-4681-8CC6-D009A73C18BE} - C:\WINDOWS.1\fweqsvxo.dll
O21 - SSODL: mqxvbdwk - {42D459BD-851F-4363-89D7-42B8EEA008C6} - C:\WINDOWS.1\mqxvbdwk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: getPlus(R) Helper - Unknown owner - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS.1\Slave.exe (file missing)

Utilisateur anonyme · Answer

Re,

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :



Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

diablo033 · Answer

control+alt+sup ne fonctionne pas 
desactiver par l administrateur
et j ai toujours pas panneau de conf, executer, et chercher dans le menu demarer

Utilisateur anonyme · Answer

Re,

Passe combofix aprés sa devrait aller mieux .

@+

diablo033 · Answer

je ne peut pas acceder au pare feu
il est ecris : a cause d un pb non identifier windows ne peut pas afficher les parametres du pare feu.

Utilisateur anonyme · Answer

Re,

Fait le en mode sans échec STP.

merci

diablo033 · Answer

ComboFix 08-10-28.01 - bernard 2008-11-07 19:20:09.1 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.171 [GMT 1:00] Running from: C:\Documents and Settings\bernard.VINCENT\Desktop\C-Fix.exe [COLOR=RED][B]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/B][/COLOR] . - REDUCED FUNCTIONALITY MODE - C:\WINDOWS\system32\vbscript.dll is missing framedyn.dll is missing . ((((((((((((((((((((((((( Files Created from 2008-10-07 to 2008-11-07 ))))))))))))))))))))))))))))))) . 2008-11-07 19:18 . 2008-11-07 19:18 d-------- C:\WINDOWS.1\ERDNT 2008-11-07 18:28 . 2008-11-07 18:28 d-------- C:\WINDOWS.1\ERUNT 2008-11-07 18:06 . 2008-11-07 18:06 d-------- C:\Program Files\Trend Micro 2008-11-07 17:27 . 2008-11-07 17:32 d-------- C:\WINDOWS.1\BDOSCAN8 2008-11-07 17:23 . 2008-11-07 17:27 40 --a------ C:\WINDOWS.1\TSC.INI 2008-11-07 17:16 . 2008-11-07 17:16 507,904 --a------ C:\WINDOWS.1\TMUPDATE.DLL 2008-11-07 17:16 . 2008-11-07 17:16 286,720 --a------ C:\WINDOWS.1\PATCH.EXE 2008-11-07 17:16 . 2008-11-07 17:16 69,689 --a------ C:\WINDOWS.1\UNZIP.DLL 2008-11-07 16:01 . 2008-11-07 06:47 393,216 --a------ C:\WINDOWS.1\xdsfqroepox.dll 2008-11-07 16:01 . 2008-11-07 06:47 303,104 --a------ C:\WINDOWS.1\fweqsvxo.dll 2008-11-07 16:01 . 2008-11-07 06:47 282,624 --a------ C:\WINDOWS.1\mqxvbdwk.dll 2008-11-07 16:01 . 2008-11-07 06:47 217,088 --a------ C:\WINDOWS.1\mstoanrd.dll 2008-11-07 16:01 . 2008-11-07 06:47 139,264 --a------ C:\WINDOWS.1 efstqdr.exe 2008-11-07 03:02 . 2008-11-07 03:02 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951978$ 2008-11-07 00:58 . 2008-11-07 00:58 d--hs---- C:\WINDOWS.1\ftpcache 2008-11-06 22:01 . 2008-11-06 22:01 d-------- C:\Program Files\HiYo 2008-11-06 21:43 . 2008-11-06 21:43 d-------- C:\Program Files\OpenOffice.org 3 2008-11-06 21:43 . 2008-11-06 21:43 d-------- C:\Program Files\JRE 2008-11-06 21:41 . 2008-11-06 21:41 d-------- C:\Program Files\Common Files\Java 2008-11-06 21:25 . 2008-11-06 21:26 d-------- C:\Program Files\Common Files\Adobe 2008-11-06 17:49 . 2008-11-06 18:16 d-------- C:\Program Files\Unlocker 2008-11-06 16:59 . 2008-11-06 17:05 d-------- C:\Program Files\Common Files\logishrd 2008-11-06 00:15 . 2008-11-06 00:15 d--h-c--- C:\WINDOWS.1\$NtUninstallKB958644$ 2008-11-06 00:15 . 2008-11-06 00:15 d--h-c--- C:\WINDOWS.1\$NtUninstallKB957095$ 2008-11-06 00:15 . 2008-11-06 00:15 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956841$ 2008-11-06 00:15 . 2008-11-06 00:15 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956803$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB954211$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB952954$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB952287$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951698$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951376-v2$ 2008-11-06 00:14 . 2008-11-06 00:14 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951066$ 2008-11-06 00:13 . 2008-11-06 00:13 d--h-c--- C:\WINDOWS.1\$NtUninstallKB950974$ 2008-11-06 00:13 . 2008-11-06 00:13 d--h-c--- C:\WINDOWS.1\$NtUninstallKB950762$ 2008-11-06 00:13 . 2008-11-06 00:13 d--h-c--- C:\WINDOWS.1\$NtUninstallKB946648$ 2008-11-06 00:13 . 2008-11-06 00:13 d--h-c--- C:\WINDOWS.1\$NtUninstallKB938464$ 2008-11-06 00:08 . 2008-11-06 00:08 d-------- C:\WINDOWS.1\l2schemas 2008-11-06 00:05 . 2008-11-06 00:08 d-------- C:\WINDOWS.1\ServicePackFiles 2008-11-05 23:56 . 2008-11-06 00:00 d--h-c--- C:\WINDOWS.1\$NtServicePackUninstall$ 2008-11-05 23:06 . 2008-11-05 23:06 d--h-c--- C:\WINDOWS.1\$NtUninstallKB952954_0$ 2008-11-05 23:06 . 2008-11-05 23:06 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951376-v2_0$ 2008-11-05 23:06 . 2008-11-05 23:06 d--h-c--- C:\WINDOWS.1\$NtUninstallKB946648_0$ 2008-11-05 23:05 . 2008-11-05 23:06 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956803_0$ 2008-11-05 23:01 . 2008-11-05 23:01 d--h-c--- C:\WINDOWS.1\$NtServicePackUninstallNLSDownlevelMapping$ 2008-11-05 23:01 . 2008-11-05 23:01 d--h-c--- C:\WINDOWS.1\$NtServicePackUninstallIDNMitigationAPIs$ 2008-11-05 23:00 . 2008-11-05 23:00 d--h-c--- C:\WINDOWS.1\$NtUninstallKB915865$ 2008-11-05 22:59 . 2008-11-05 22:59 d--h-c--- C:\WINDOWS.1\$NtUninstallKB914440$ 2008-11-05 22:59 . 2008-11-05 22:59 d--h-c--- C:\WINDOWS.1\$NtUninstallKB904942$ 2008-11-05 22:54 . 2008-11-05 22:54 d--h-c--- C:\WINDOWS.1\$NtUninstallKB957095_0$ 2008-11-05 22:54 . 2008-11-05 22:54 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956391$ 2008-11-05 22:54 . 2008-11-05 22:54 d--h-c--- C:\WINDOWS.1\$NtUninstallKB950974_0$ 2008-11-05 22:53 . 2008-11-05 22:53 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956841_0$ 2008-11-05 22:53 . 2008-11-05 22:53 d--h-c--- C:\WINDOWS.1\$NtUninstallKB954211_0$ 2008-11-05 22:53 . 2008-11-05 22:53 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951698_0$ 2008-11-05 22:52 . 2008-11-05 22:52 d--h-c--- C:\WINDOWS.1\$NtUninstallKB950762_0$ 2008-11-05 22:51 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB958644_0$ 2008-11-05 22:51 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB952287_0$ 2008-11-05 22:51 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951072-v2$ 2008-11-05 22:51 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB951066_0$ 2008-11-05 22:51 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB938464_0$ 2008-11-05 22:50 . 2008-11-05 22:51 d--h-c--- C:\WINDOWS.1\$NtUninstallKB956390$ 2008-11-05 22:50 . 2008-11-05 22:50 d--h-c--- C:\WINDOWS.1\$NtUninstallKB944338-v2$ 2008-11-05 22:34 . 2008-11-05 22:34 d--h-c--- C:\WINDOWS.1\$NtUninstallWIC$ 2008-11-05 22:11 . 2008-11-05 22:19 d--hsc--- C:\Program Files\Common Files\WindowsLiveInstaller 2008-11-05 22:09 . 2008-11-05 22:09 d--h-c--- C:\WINDOWS.1\$MSI31Uninstall_KB893803v2$ 2008-11-05 22:04 . 2008-11-05 22:04 d--h-c--- C:\WINDOWS.1\$NtUninstallKB898461$ 2008-11-05 22:04 . 2008-11-07 03:01 d--h----- C:\WINDOWS.1\$hf_mig$ 2008-11-05 19:06 . 2008-11-07 03:03 d--hs---- C:\WINDOWS.1\Installer 2008-11-05 19:06 . 2008-11-05 18:28 4,249 --a------ C:\WINDOWS.1\ODBCINST.INI 2008-11-05 19:06 . 2008-11-07 03:01 1,374 --a------ C:\WINDOWS.1\imsins.BAK 2008-11-05 19:04 . 2008-11-05 18:38 d--h----- C:\Documents and Settings\Default User.WINDOWS.1 2008-11-05 19:04 . 2008-11-05 18:27 d-------- C:\Documents and Settings\All Users.WINDOWS.1 2008-10-31 04:57 . 2008-10-31 04:57 d-------- C:\Program Files\Stardock 2008-10-29 17:05 . 2008-10-29 17:06 d-------- C:\Program Files\SweetIM 2008-10-29 16:57 . 2008-11-07 15:27 d-------- C:\Program Files\Windows Live Safety Center 2008-10-29 00:24 . 2008-10-29 00:24 d-------- C:\Program Files\Alwil Software . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-07 15:08 --------- d-----w C:\Program Files\eMule 2008-11-07 02:01 --------- d-----w C:\Program Files\Windows Live 2008-11-06 20:42 --------- d-----w C:\Program Files\Java 2008-11-06 20:18 --------- d-----w C:\Program Files\Google 2008-11-06 16:12 --------- d-----w C:\Program Files\prog 2008-11-06 16:05 --------- d-----w C:\Program Files\Logitech 2008-11-05 21:34 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-10-29 16:55 --------- d-----w C:\Program Files\MSN Messenger 2008-10-28 22:18 --------- d-----w C:\Program Files\Fichiers communs 2008-10-05 18:56 --------- d-----w C:\Program Files\BFG . [color=red] C:\WINDOWS\system32\user32.dll ... is infected !! [/color] 577,024 2004-08-03 22:56:48 C:\WINDOWS.1\$NtServicePackUninstall$\user32.dll 578,560 2008-04-14 00:12:08 C:\WINDOWS.1\ServicePackFiles\i386\user32.dll 578,560 2008-04-14 00:12:08 C:\WINDOWS.1\SoftwareDistribution\Download\59fc8f12b80caa991163249076d0bcca\user32.dll 578,560 2008-04-14 00:12:08 C:\WINDOWS.1\system32\user32.dll 578,560 2008-11-07 17:32:17 C:\WINDOWS.1\system32\dllcache\user32.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{37795490-1e65-4437-bd1c-3b9e5c8b5589}] 2008-11-07 16:08 132608 --a------ C:\WINDOWS.1\system32\bpvzcn.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{93325520-EE30-46FC-B726-4EDA1491E02C}] 2008-11-07 16:07 321920 --a------ C:\WINDOWS.1\system32\hgGAtuRk.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D393614C-357A-4E4F-8D67-3761F35452B1}] 2008-11-07 06:47 393216 --a------ C:\WINDOWS.1\xdsfqroepox.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{3A74A614-1657-4533-B1FE-DCFBA2895828}"= "C:\WINDOWS.1\mstoanrd.dll" [2008-11-07 217088] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS.1\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "ahere"="c:\documents and settings\bernard.vincent\local settings\application data\ahere.exe" [2008-11-06 299008] "swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-11-06 171448] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008] "LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008] "LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184] "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "HiYo"="C:\Program Files\HiYo\bin\HiYo.exe" [2008-10-23 300336] "f4e9d776"="C:\WINDOWS.1\system32\ijerriqv.dll" [2008-11-07 75904] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS.1\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "fweqsvxo"= {90391AA6-D5A3-4681-8CC6-D009A73C18BE} - C:\WINDOWS.1\fweqsvxo.dll [2008-11-07 303104] "mqxvbdwk"= {42D459BD-851F-4363-89D7-42B8EEA008C6} - C:\WINDOWS.1\mqxvbdwk.dll [2008-11-07 282624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "Userinit"="C:\WINDOWS.1\system32\userinit.exe," [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=bpvzcn.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.iac2"= C:\WINDOWS.1\system32\iac25_32.ax "msacm.l3acm"= C:\WINDOWS.1\system32\l3codeca.acm [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS.1\system32\hgGAtuRk [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "C:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "C:\Program Files\Windows Live\Messenger\livecall.exe"= "C:\WINDOWS.1\system32\usmt\migwiz.exe"= "C:\Program Files\eMule\emule.exe"= "C:\Program Files\MSN Messenger\msnmsgr.exe"= S1 aswSP;avast! Self Protection;C:\WINDOWS.1\system32\drivers\aswSP.sys [2008-07-19 78416] S2 aswFsBlk;aswFsBlk;C:\WINDOWS.1\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560] S3 getPlus(R) Helper;getPlus(R) Helper;C:\Program Files\NOS\bin\getPlus_HelperSvc.exe [ ] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}] C:\WINDOWS.1\system32\ieudinit.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89820200-ECBD-11cf-8B85-00AA005B4383}] C:\WINDOWS.1\system32\ie4uinit.exe -BaseSettings [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}] C:\WINDOWS.1\system32\Rundll32.exe C:\WINDOWS.1\system32\mscories.dll,Install . Contents of the 'Scheduled Tasks' folder 2008-11-07 C:\WINDOWS.1\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job - C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . - - - - ORPHANS REMOVED - - - - HKLM-Run-UnlockerAssistant - C:\Program Files\Unlocker\UnlockerAssistant.exe . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Local Page = C:\WINDOWS.1\system32\blank.htm R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} O8 -: &Windows Live Search - C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.zebulon.fr/scan8/oscan8.cab C:\WINDOWS.1\Downloaded Program Files\oscan8.inf C:\WINDOWS.1\Downloaded Program Files\oscan81.ocx_x C:\WINDOWS.1\bdoscandellang.ini C:\WINDOWS.1\bdoscandel.exe C:\WINDOWS.1\Downloaded Program Files\live.ini C:\WINDOWS.1\Downloaded Program Files\scanoptions.tsi C:\WINDOWS.1\Downloaded Program Files\lang.ini C:\WINDOWS.1\Downloaded Program Files\ipsupd.dll C:\WINDOWS.1\Downloaded Program Files\bdupd.dll C:\WINDOWS.1\Downloaded Program Files\libfn.dll C:\WINDOWS.1\Downloaded Program Files\bdcore.dll C:\WINDOWS.1\Downloaded Program Files\oscan8.ocx . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-07 19:20:54 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS.1\system32\winlogon.exe -> C:\WINDOWS.1\system32\bpvzcn.dll PROCESS: C:\WINDOWS.1\system32\lsass.exe -> C:\WINDOWS.1\system32\bpvzcn.dll -> C:\WINDOWS.1\system32\hgGAtuRk.dll PROCESS: C:\WINDOWS.1\explorer.exe -> C:\WINDOWS.1\system32\hgGAtuRk.dll . Completion time: 2008-11-07 19:23:14 ComboFix-quarantined-files.txt 2008-11-07 18:23:08 Pre-Run: 64 922 607 616 bytes free Post-Run: 64,908,644,352 bytes free 217 --- E O F --- 2008-11-07 02:03:03

Utilisateur anonyme · Answer

Re,

Sa va mieux ou pas ?

Fait ceci maintenant:

-Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

- Mets le à jour

---
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's

diablo033 · Answer

ca va pas mieux j ai fais ce ke tu m as dis pourtant je fais ca je re apres

diablo033 · Answer

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1373
Windows 5.1.2600 Service Pack 3

07/11/2008 20:27:05
mbam-log-2008-11-07 (20-27-05).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 21812
Temps écoulé: 21 minute(s), 34 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 4
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
C:\documents and settings\bernard.vincent\local settings\application data\ahere.exe (Adware.Navipromo.H) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS.1\system32\hgGAtuRk.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS.1\system32\ijerriqv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS.1\system32\bpvzcn.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS.1\fweqsvxo.dll (Trojan.Zlob) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37795490-1e65-4437-bd1c-3b9e5c8b5589} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37795490-1e65-4437-bd1c-3b9e5c8b5589} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6f320b55-2f7b-44d0-84a8-c283188dbec1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6f320b55-2f7b-44d0-84a8-c283188dbec1} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37795490-1e65-4437-bd1c-3b9e5c8b5589} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f320b55-2f7b-44d0-84a8-c283188dbec1} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{90391aa6-d5a3-4681-8cc6-d009a73c18be} (Trojan.Zlob) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f4e9d776 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ahere (Adware.Navipromo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\fweqsvxo (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS.1\system32\bpvzcn.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS.1\system32\hgGAtuRk.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS.1\system32\kRutAGgh.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS.1\system32\kRutAGgh.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS.1\system32\ijerriqv.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS.1\system32\vqirreji.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bernard.VINCENT\Local Settings\Application Data\ahere_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bernard.VINCENT\Local Settings\Application Data\ahere_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bernard.VINCENT\Local Settings\Application Data\ahere.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\bernard.VINCENT\Local Settings\Application Data\ahere.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS.1\fweqsvxo.dll (Trojan.Zlob) -> Delete on reboot.
C:\Documents and Settings\bernard.VINCENT\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re,

et ben il a encore du boulot:

 dans l'ordre

installe [- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraudfix]



Option:1 => Recherche:

    * Double cliquer sur SmitfraudFix.exe
    
* Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

C:\rapport.txt

==>et colle le rapport génèrer sur le forum.

*=>Ne pas faire l'option 2 sans un avis d'une personne compétente*<=


==>Tutoriel Smitfraudix
====================================================================

installe NAVILOG1


Remarque concernant la détection de Navilog1 par certains programmes de sécurités :

Certains fichiers de Navilog1.exe peuvent être considérés comme dangereux et donc supprimés ou neutralisés par certains programmes de sécurités. Ce sont des faux positifs et dans certains cas, vous serez amener à désactiver votre protection le temps du téléchargement/utilisation de Navilog1.
/ !\ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. / !\

Utilisateurs de Windows Vista :

* Afin que Navilog1 puisse fonctionner correctement, il est recommandé de désactiver l'UAC pendant l'utilisation de Navilog1 (Installation, Utilisation). N'oubliez pas dès l'utilisation de Navilog1 terminé à réactiver l'UAC sur votre Ordinateur.
comment faire pour désactiver l'UAC

* A chaque fois que vous êtes amené à exécuter Navilog1.bat ou Navilog1.exe pour l'installation, ne double-cliquez pas sur le fichier ou raccourci mais faites un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".

Le lancement de l'installation de Navilog1 se fait en exécutant Navilog1.exe

(Si vous avez téléchargé navilog1.zip, Veuillez auparavant décompresser ce fichier)

Une fois l'installation terminé, pour lancer le fix :

- en utilisant le raccourci crée sur le bureau : Navilog1
- Via le poste de travail, en exécutant le fichier Navilog1.bat se trouvant dans %program files%Navilog1

Après le choix de la langue et les messages d'avertissement, le menu s'affiche.

Faite le choix 1

Effectue la vérification du système à la recherche de l'adware. Un scan avec catchme de GMER est également éffectué pour Windows XP. Cette analyse peut durer une dizaine de minutes. Patientez alors jusqu'au message «Analyse terminée le ....». Appuyez sur une touche comme demandé et le bloc note va souvrir , Enregistrez-le sur votre disque. Puis Ouvrez-le et Copiez-Collez l'intégralité de ce rapport sur le forum qui vous l'auras demandé.

(si le bloc-note ne s'ouvre pas : Rendez-vous dans votre poste de travail, à la racine du disque C vous trouverez le rapport sous le nom de fixnavi.txt)

Attention : Ne lancez-pas la partie désinfection (choix 2, 3 ou 4) sans l'avis/accord express de l'Helper qui vous as pris en charge sur le forum d'aide ou vous aurez exposer votre problème.

==>>Tutoriel Navilog1

diablo033 · Answer

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: xdsfqroepox.dll
BHO: QXK Olive - {D393614C-357A-4E4F-8D67-3761F35452B1}
TypeLib: {1F8553E9-4738-44F6-AC40-38B0766741BA}
Interface: {09CDB9BC-9908-4E87-A7B7-30FFC69F05EE}
Interface: {3D5FB395-0483-4EB2-988B-A62381381E1A}

[!] Suspicious: mstoanrd.dll
Toolbar: mstoanrd - {3A74A614-1657-4533-B1FE-DCFBA2895828}
TypeLib: {C1E78D16-0694-4CA0-BDE7-47A430FE8FA6}
Interface: {C9A23879-1E2E-4787-8775-AD2BEAD4EC5C}
Classe: mstoanrd.bepx
Classe: mstoanrd.ToolBar.1


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="bpvzcn.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS.1\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VM Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

diablo033 · Answer

je fais navilog

Utilisateur anonyme · Answer

Re,

il me manque une partie de smithfraudix!!!!!!

@+

diablo033 · Answer

j ai installer navilog je fais j ai 4 choix dispo 

1...........recherche
2...........desinfection auto
3..........desinfectyion auto sans prise en charge resultat
4..........desinfection manuel
5.......... quitter

Utilisateur anonyme · Answer

Re,

Il faut lire les canned....

option 1

@+

diablo033 · Answer

Search Navipromo version 3.6.9 commencé le 07/11/2008 à 21:14:11,46

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "bernard" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***

Favorit

*** Recherche dossiers dans "C:\WINDOWS.1" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS.1\startm~1\programs" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users.WINDOWS.1\startm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1.1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\bernard.VINCENT\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\b

Utilisateur anonyme · Answer

Re,

il me manque des morceaux des rapports de smithfraudix et navilog!!!

@+

PS:sinon envoi les moi par mp.

diablo033 · Answer

c quoi mp ..............?

diablo033 · Answer

2008/11/07 17:16:34:265 HTML parameter ScanAllDrives = 0 Cleanable = 1 AutoClean = 0 ZipClean = 1 SpecialTSC = 0 EnableTSC = 1 AdUrl = VirusAction = 0 ScanFileExtensOnly = RenameToFileExtens = .VIR MoveToPath = C:\HouseCallQuarantine ShowErrorInAction = 0 TrendUserId = TrendScanCompletedURL = ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe ScanMemoryVirus = 1 ScanBootVirus = 1 ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/ HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/ 2008/11/07 17:16:34:562 56E8A88::OnCreate() 2008/11/07 17:16:34:562 56E8A88::COleControl::OnCreate() Pass! 2008/11/07 17:16:34:562 56E8A88::XP platform. 2008/11/07 17:16:34:562 56E8A88::Mutex = DA0 2008/11/07 17:16:34:578 56E8A88::OnCreate() Web server List checking ... 2008/11/07 17:16:34:578 56E8A88::OnCreate() Get AddressBarText => 'http://www.secuser.com' 2008/11/07 17:16:34:609 56E8A88::OnCreate() Parsing hostname form AddressBarText => 'http://www.secuser.com' 2008/11/07 17:16:34:609 56E8A88::OnCreate() Found 'www.secuser.com' in server list 2008/11/07 17:16:34:984 m_strClientIP=192.168.1.21 2008/11/07 17:17:48:453 56E8A88::OnCreate() Pass! 2008/11/07 17:20:25:328 567EB28::CXscanCtrl() 2008/11/07 17:20:25:421 567EB28::Server Vaild Date until <2009/1/1> 2008/11/07 17:20:25:437 HTML parameter ScanAllDrives = 0 Cleanable = 1 AutoClean = 0 ZipClean = 1 SpecialTSC = 0 EnableTSC = 1 AdUrl = VirusAction = 0 ScanFileExtensOnly = RenameToFileExtens = .VIR MoveToPath = C:\HouseCallQuarantine ShowErrorInAction = 0 TrendUserId = TrendScanCompletedURL = ScanReportUrl = http://wtc.trendmicro.com/HcBin/HcAddLog.exe ScanMemoryVirus = 1 ScanBootVirus = 1 ActiveUpdateUrl = http://housecall-p.activeupdate.trendmicro.com/activeupdate/ HouseCallBaseUrl = http://wtc.trendmicro.com:8000/hcms/ 2008/11/07 17:20:25:562 567EB28::OnCreate() 2008/11/07 17:20:25:562 567EB28::COleControl::OnCreate() Pass! 2008/11/07 17:20:25:562 567EB28::XP platform. 2008/11/07 17:20:25:562 567EB28::OnCreate() Fail! (Another Xscan is running) 2008/11/07 17:23:08:984 After call NewEncryptStr => !CRYPT!8401AAA57AA7CE023BD14E523B8DB2046B0425CC9D62D10FCAC34D9B6AD4F3BB22AD5CE34047A4206F8273457D756852A79CAAB8871F676994C56E0C2F2646881D14D1D0E31!840A3FDBFFAF90247E7CD857049344F7181546FB6F2DDE544468906C0069F47AC094A606BF3E72ACE8C041B8074ADCC39BF82E584861E33EA7F052EEE05CDD0C0CE3240472A!101727B745F6856EA264F627A3B 2008/11/07 17:23:09:093 Get log from queue ok! data : 00,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!8401AAA57AA7CE023BD14E523B8DB2046B0425CC9D62D10FCAC34D9B6AD4F3BB22AD5CE34047A4206F8273457D756852A79CAAB8871F676994C56E0C2F2646881D14D1D0E31!840A3FDBFFAF90247E7CD857049344F7181546FB6F2DDE544468906C0069F47AC094A606BF3E72ACE8C041B8074ADCC39BF82E584861E33EA7F052EEE05CDD0C0CE3240472A!101727B745F6856EA264F627A3B 2008/11/07 17:23:09:859 SendLog GetUrlPostErrorMessage() => Decrypt successfully !
Write to inbox queue successed ! total write 126 byte(s)
Elapsed Time 0 ms
2008/11/07 17:23:09:859 Server side CGI return successed ! 2008/11/07 17:23:09:859 Removed Item from queue! 2008/11/07 17:23:10:484 567EB28::~CXscanCtrl() 2008/11/07 17:27:43:156 After call NewEncryptStr => !CRYPT!840DC7C4B7361D7BF0314E523B8DB2046B0425CC9D62D10FCAC34D9B6AD4F3BB22AD5CE34047A4206F8273457D756852A79CAAB8871F676994C56E0C2F2646881D14D190F3B!840A3FDBFFAF90247E7CD857049344F7181546FB6F2DDE544468906C0069F47AC094A606BF3E72ACE8C041B8074ADCC39BF6BA4A41DF518E2F4B68D8E82A2C5E60C334D033E!20DE1F19114E211FA22FA9E1DCAF947BEEB6F5E0F17 2008/11/07 17:27:43:312 Get log from queue ok! data : 00,http://wtc.trendmicro.com/HcBin/HcAddLog.exe?!CRYPT!840DC7C4B7361D7BF0314E523B8DB2046B0425CC9D62D10FCAC34D9B6AD4F3BB22AD5CE34047A4206F8273457D756852A79CAAB8871F676994C56E0C2F2646881D14D190F3B!840A3FDBFFAF90247E7CD857049344F7181546FB6F2DDE544468906C0069F47AC094A606BF3E72ACE8C041B8074ADCC39BF6BA4A41DF518E2F4B68D8E82A2C5E60C334D033E!20DE1F19114E211FA22FA9E1DCAF947BEEB6F5E0F17 2008/11/07 17:27:44:296 SendLog GetUrlPostErrorMessage() => Decrypt successfully !
Write to inbox queue successed ! total write 138 byte(s)
Elapsed Time 16 ms
2008/11/07 17:27:44:296 Server side CGI return successed ! 2008/11/07 17:27:44:296 Removed Item from queue! 2008/11/07 17:27:45:078 56E8A88::~CXscanCtrl()

Utilisateur anonyme · Answer

Re,

message personnel.

en dessous te ton pseudo en haut a droite,de la page de CCM

@+

diablo033 · Answer

SmitFraudFix v2.373

Scan done at 20:48:53,90, 07/11/2008
Run from C:\Documents and Settings\bernard.VINCENT\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.1\Explorer.EXE
C:\WINDOWS.1\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\HiYo\bin\HiYo.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS.1\system32\wscntfy.exe
C:\WINDOWS.1\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS.1\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1

C:\WINDOWS.1\mqxvbdwk.dll FOUND !
C:\WINDOWS.1
efstqdr.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS.1\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bernard.VINCENT


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BERNAR~1.VIN\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bernard.VINCENT\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\BERNAR~1.VIN\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="My Current Home Page"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: xdsfqroepox.dll
BHO: QXK Olive - {D393614C-357A-4E4F-8D67-3761F35452B1}
TypeLib: {1F8553E9-4738-44F6-AC40-38B0766741BA}
Interface: {09CDB9BC-9908-4E87-A7B7-30FFC69F05EE}
Interface: {3D5FB395-0483-4EB2-988B-A62381381E1A}

[!] Suspicious: mstoanrd.dll
Toolbar: mstoanrd - {3A74A614-1657-4533-B1FE-DCFBA2895828}
TypeLib: {C1E78D16-0694-4CA0-BDE7-47A430FE8FA6}
Interface: {C9A23879-1E2E-4787-8775-AD2BEAD4EC5C}
Classe: mstoanrd.bepx
Classe: mstoanrd.ToolBar.1


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="bpvzcn.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS.1\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VM Network Connection - Packet Scheduler Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{978EFE08-374A-4126-B352-1C4A8C0DA13B}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Utilisateur anonyme · Answer

Re, Maintenant fait ceci: 2) Nettoyage: * Redemarrer l'ordinateur en mode sans échec: * Double cliquer sur smitfraudix: * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection. * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection:. * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu:. * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt: Option:: * Pour effacer la liste des sites de confiance et sensibles, sélectionner 3 et pressez Entrée dans le menu. * A la question: Réinitialiser la liste des sites de confiance et sensibles ? répondre O (oui) et pressez Entrée afin de restaurer les zones de confiances et sensibles:. :FAUX POSITIF:: process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

diablo033 · Answer

c quoi presser gras ? 
et encore merci pr tou
@+

Utilisateur anonyme · Answer

Re,

C'est une option......

Ne te concerne pas.

@+

Utilisateur anonyme · Answer

Re,

Il me manque toujours le navilog !!!!!

@+

diablo033 · Answer

c impecable le pc tourne nikel..................youpiiiiiiiiii
je te remerci pr tou...........................
t cool d'etre rester avec moi tou l'aprem
je te revodrai sa lol
merci encor pr tou..................
 ..................................................RESOLU....................................§§§§§§§§§§§§§§!!!!!!!!!!!!!!!!

Utilisateur anonyme · Answer

Re,

C'est pas fini passe moi les rapport de navilog et smithfraudix option2.

merci

Virus tres embettant help

34 réponses

Discussions similaires