VIRUS (pub+lsass infecté par trojan) Résolu/Fermé

Question

Bonjour,
Alors je vous expose mon problème, depuis que ma licence avast c'est terminé je suis passé a kaspersky, puis après 1 jours j'ai chopé des virus :s

faut dire que je ne m'y connais pas énormément en informatique mais normalement j'arrive a me débrouiller !

mais la j'ai absolument besoin de votre aide, d'après kaspersky j'ai un trojan dans "lsass.exe/......." je ne sais plus le nom car j'ai vite désinstallé cette inti-virus, et quand je me connecte a firefox j'ai des pages de pub incessante qui s'ouvre (casino,site anti-virus, site de logiciel).

J'ai donc cherché a neutraliser les virus mais rien n'y fait quand je supprime "lsass" j'ai un reboot de l'ordinateur puis rien n'a changé et pour les pubs aucune idée d'où est le virus.

(ps: je voulais vous demander aussi, quand je reçois sur msn des messages de personne hors ligne, message bien connu avec virus a la clé, se message est bien envoyé par mes contacts ? ou le virus vient de moi et il m'envoi de faux messages pour me piéger ?)

Merci pour votre précieuse aide je vous en serais reconnaissante,
Merci aux personnes qui prendront le temps de m'aider

Utilisateur anonyme · Answer

Hi,

télécharge hijackthis
->  enregistre la cible sous .... "le bureau" 

-> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

-> Clique sur Install ensuite sur "I Accept"

-> Clique sur" Do a scan system and save log file"

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse 

->Tuto hijackthis(Merci à Balltrap34)

Alut.

pimprenelle27 · Answer

avast est très mauvais, mais kaspersky lui est très bon car il t'a trouvé un trojan il fallais le laisser au contraire il t'aurais débarrassé de ce trojan.

LaMiss · Answer

J'ai suivi t'es instruction et voila le rapport :







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:24, on 17/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\PRMT8\PrmtSvr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ccad3832] rundll32.exe "C:\WINDOWS\system32\jrsfpapc.dll",b
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: mojili.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Utilisateur anonyme · Answer

Hi,

Commence par ceci:

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :



Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp 

Alut.

LaMiss · Answer

vaut mieux que je le face en mode sans échec ou pas ?

Utilisateur anonyme · Answer

Hi,

en mode normal.

Alut.

Utilisateur anonyme · Answer

Hi,

ai-je précisée que jetais sous LSD cela ne pose pas de problèmes ?

De quoi tu me parle de "drogue" c'est sa?

Alut.

LaMiss · Answer

Lol je sais pas si tu me dit ça pour déconner mais tu me fait peur la ^^

Non je te parle de windows LSD, une version pirate :s plus legere 
(mais je tien a préciser que j'ai installé cette version pour des raisons de manque de puissance ! et j'ai quand même windows xp que j'ai acheté avec l'ordinateur)

Utilisateur anonyme · Answer

Hi,

Ben le risque et a prendre de plus je ne voit pas pourquoi tu as une version dite "légal" et une autres illégal?

Toutefois ,je préfère arrêter la avec toi du faite que tu utilise une version pirate de windows.

Je te conseil de mettre ta vrai version et de faire toutes tes mises à jour de windows et tu verras que tout iras bien .

Le risque d'utiliser combofix et peut être pas énorme ,tout comme elle peut être dangereuse pour ton pc.

Désoler mais le piratage et interdit .

Alut.

Utilisateur anonyme · Answer

Hi,

Tu ne serais pas un usurpateur ? , pour activer windows lsd il faut une cle de windows xp legal il est dit pirate juste car il a été modofié ( allegé , ;.....)

Ben te laisse t'en occuper et si le pc fume ou autres ce sera toi le responsable.

Depuis quand une version "ALLEGER" de windows serait légal?

Maintenant il et interdit d'utiliser une version alléger


Alut.

LaMiss · Answer

Oui j'ai une version legal de windows xp !!
que j'ai acheté legalement!!
mais mon vieux pc a beaucoup de mal a tourner sur windows xp alors on ma conseillé d'utiliser la version LSD et sa va beaucoup mieux avec, c'est pourquoi je ne pense pas pouvoir en changer, et je ne vois pas le problème du fait que j'ai quand même payer pour utiliser windows !!

Alors si quelqu'un de plus compréhensif pourrais m'aider je lui en serais totalement reconnaissante

merci bien a vous.

Utilisateur anonyme · Answer

Hi,

Je vient de faire une recherche sur le net et j'ai trouver sa :

windows LSD illégal

Alut.

Utilisateur anonyme · Answer

bonjour afin de mettre tout le monde d'accord !





Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ccad3832"=-

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
note : regedit 4 est sur la premiere ligne et il y a une ligne blanche a la fin
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui"  
  

ensuite execute ceci--------------------------------------------


Malwaresbytes anti malwares
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" n'est pas coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Ferme le bloc-note. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter. 


ensuite relance hijackthis do a scan systeme only et coche les cases qui se trouvent devant ces lignes puis clique sur fix chequed
( certaines lignes peuvent etre absentes, ce n'est pas grave , passe aux autres )
 

 
     
 O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE     
 O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE     
 O4 - HKLM\..\Run: [nwiz] nwiz.exe /install     
 O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\VirtualCloneDrive\VCDDaemon.exe" /s     
 O4 - HKLM\..\Run: [ccad3832] rundll32.exe "C:\WINDOWS\system32\jrsfpapc.dll",b   
 O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background       
 O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')     
 O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')         
 O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')     
 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')     
 O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')         
 O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')     
 O20 - AppInit_DLLs: mojili.dll

Utilisateur anonyme · Answer

Hi,



Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(X)) :

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ccad3832"=-

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
note : regedit 4 est sur la premiere ligne et il y a une ligne blanche a la fin
Puis click sur "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

ca doit ressembler a ca une fois enrregistré :

http://img520.imageshack.us/img520/4251/screenshot005ps2.png

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" 

il manque une partie.

Alut.

LaMiss · Answer

Merci de ta précieuse aide M.L king, j'ai suivi t'es instruction, 22 infection detecté par le "trojan Vundo H"

a la fin de la suppression sa ma dit que certain fichier n'etait pas supprimable alors j'ai redemarer pour y remedier, je sais pas si sa les a bien fait partir !

LaMiss · Answer

La ligne regedit4 a quoi sert telle s'il vous plait?

Que dois-je faire pour vérifier si mon ordinateur est bien propre ?

Spybot me trouve toujours du trojan :
"Virtumonde"

HKEY_USERS\S-1-5-21-1390067357-1801674531-725345543-1003\Sofware\Microsoft\fias4013


c'est pas la 1ere fois que je le supprime celui la grrrrrrrr

merci de me guider

Utilisateur anonyme · Answer

Ne me remercie pas pour le moment !
Vundo H est une nouvelle variante du virus , elle peu instaler plein de saloperie sur ton pc donc il va falloir continuer a nettoyer ton pc .

poste stp le rapport de malwaresbytes 

ensuite double clique sur le raccourci d'hijackthis

-selectionne do a scan systeme and save logfile 
-le bloc note va s'afficher copie et colle le rapport hijackthis dans ta prochaine reponse

LaMiss · Answer

Rapport de Malware


Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1405
Windows 5.1.2600 Service Pack 2

17/11/2008 19:10:07
mbam-log-2008-11-17 (19-10-07).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 171900
Temps écoulé: 25 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\awtuvVLB.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\jrsfpapc.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mojili.dll (Trojan.Vundo) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17d4b064-1547-4801-a1a7-9162260d47cf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{17d4b064-1547-4801-a1a7-9162260d47cf} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wvunleeb (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af239664-97c0-4d13-b62c-64ba71709a13} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{af239664-97c0-4d13-b62c-64ba71709a13} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{17d4b064-1547-4801-a1a7-9162260d47cf} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96e74e0b-9143-4d55-b522-35112296956a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\awtuvvlb -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtuvvlb

LaMiss · Answer

Rapport Hijack :




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:09:00, on 17/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {221956CB-9016-42B1-87E7-8E8939ECBFFA} - C:\WINDOWS\system32\qoMghHwu.dll (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Utilisateur anonyme · Answer

bonsoir pas de tdssserv bisard !!

Utilisateur anonyme · Answer

bon , passons les intrusions !!

Lamiss ca semble en bonne voies !


Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

LaMiss · Answer

Alors apres avoir lancer Combofix, j'accepte les condition puis il me dit :

"Combafix a détecté que la console de recuperation windows n'existe pas sur ce PC vous auriez vraiment tout interet a l'installer.
il vous faut une connexion a internet pour cela > installer > oui > non"

Je ne sais pas si j'ai bien fait mais vu que je devais me deconnecter d'internet pour ce logiciel j'ai répondu non,
j'ai bien fait ? ou je relance le logiciel pour lui dire oui ?

Utilisateur anonyme · Answer

Il faut etre deconnecté et ne pas utiliser le dit pc pour l'execution de l'outil !

donc j'espere que l'outil a terminé car LA tu risque d'endommager ton pc !

si il n'as pas terminé deconnecte toi immediatement !

sinon poste le rapport de combofix stp

LaMiss · Answer

Tout c'est bien passé lors de l'analyse, j'ai juste pas installé la console de récupération ne sachant pas se que c'est ! Voila le rapport : ComboFix 08-11-16.05 - Voodoo 2008-11-17 20:51:05.1 - NTFSx86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.685 [GMT 1:00] Lancé depuis: c:\documents and settings\Voodoo\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé [COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR] . ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-17 au 2008-11-17 )))))))))))))))))))))))))))))))))))) . 2008-11-17 18:36 . 2008-11-17 18:36 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-17 18:36 . 2008-11-17 18:36 d-------- c:\documents and settings\Voodoo\Application Data\Malwarebytes 2008-11-17 18:36 . 2008-11-17 18:36 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-17 18:36 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-17 18:36 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-17 16:58 . 2008-11-17 16:58 d-------- c:\program files\Alwil Software 2008-11-17 14:59 . 2008-11-17 14:59 d-------- c:\program files\Trend Micro 2008-11-17 14:49 . 2008-11-17 14:49 d-------- c:\documents and settings\Voodoo\Application Data\ESET 2008-11-16 21:47 . 2008-11-17 14:46 d-------- c:\documents and settings\All Users\Application Data\ESET 2008-11-16 21:45 . 2008-11-17 14:46 d-------- c:\program files\ESET 2008-11-16 21:04 . 2008-11-16 21:21 149 --a------ c:\windows\wininit.ini 2008-11-14 22:54 . 2008-11-14 22:54 d-------- c:\program files\Deep Silver 2008-11-14 22:27 . 2008-11-14 22:27 107,832 --a------ c:\windows\system32\PnkBstrB.exe 2008-11-14 22:27 . 2008-11-14 22:27 66,872 --a------ c:\windows\system32\PnkBstrA.exe 2008-11-14 22:27 . 2008-11-14 22:27 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys 2008-11-14 22:26 . 2008-11-14 22:27 2,250,024 --a------ c:\windows\system32\pbsvc.exe 2008-11-14 22:21 . 2008-11-14 22:21 d-------- c:\program files\Ubisoft 2008-11-14 22:00 . 2008-11-14 22:00 d-------- c:\windows\Logs 2008-11-14 22:00 . 2008-11-14 23:09 413,696 --a------ c:\windows\system32\wrap_oal.dll 2008-11-14 22:00 . 2008-11-14 23:09 110,592 --a------ c:\windows\system32\OpenAL32.dll 2008-11-12 23:48 . 2008-11-12 23:48 d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2008-11-11 00:20 . 2008-11-16 02:58 d-------- c:\documents and settings\Voodoo\Application Data\uTorrent 2008-11-10 23:59 . 2008-11-10 23:59 278,728 --a------ c:\windows\system32\drivers\atksgt.sys 2008-11-10 23:59 . 2008-11-10 23:59 25,416 --a------ c:\windows\system32\drivers\lirsgt.sys 2008-11-10 23:37 . 2008-11-10 23:37 717,296 --a------ c:\windows\system32\drivers\sptd.sys 2008-11-02 18:18 . 2008-11-02 18:19 d-------- c:\program files\CandiSoft Load 2008-11-01 17:13 . 2008-11-01 18:10 410,976 --a------ c:\windows\system32\deploytk.dll 2008-10-27 20:50 . 2008-11-15 01:07 96 --ah----- c:\windows\system32\HsInfo.dat 2008-10-25 16:34 . 2008-10-25 16:34 d-------- c:\documents and settings\Voodoo\Application Data\PRMT 2008-10-23 21:36 . 2008-10-23 21:36 d-------- c:\program files\Bullfrog 2008-10-21 15:36 . 2008-10-21 15:36 d-------- c:\documents and settings\All Users\Application Data\SimCity Societies 2008-10-21 14:34 . 1998-01-23 11:22 304,128 --a------ c:\windows\IsUninst.exe 2008-10-21 14:34 . 1998-10-01 11:50 33,792 --a------ c:\windows\system32\NPSExec.exe 2008-10-21 14:31 . 1998-08-10 21:21 132,096 --a------ c:\windows\system32\eaexec.exe 2008-10-21 14:31 . 1998-08-10 21:20 24,576 --a------ c:\windows\system32\ealtest.exe 2008-10-21 14:30 . 2008-10-21 14:30 d-------- c:\documents and settings\Voodoo\WINDOWS 2008-10-21 14:30 . 1998-07-30 16:40 306,688 --a------ c:\windows\IsUn040c.exe 2008-10-21 14:22 . 2008-10-21 14:48 d-------- c:\program files\uTorrent 2008-10-21 02:02 . 2008-11-14 22:02 107,888 --a------ c:\windows\system32\CmdLineExt.dll 2008-10-19 20:31 . 2008-10-19 20:31 d-------- c:\program files\RayV 2008-10-19 20:31 . 2008-10-19 20:31 d-------- c:\documents and settings\Voodoo\Application Data\RayV 2008-10-18 17:05 . 2008-10-18 17:05 d-------- c:\documents and settings\Voodoo\Application Data\Ahead . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-16 20:05 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-16 19:45 --------- d-----w c:\program files\Spybot - Search & Destroy 2008-11-16 02:54 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-16 02:51 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard 2008-11-16 01:36 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2008-11-16 01:29 --------- d-----w c:\program files\SpywareBlaster 2008-11-14 22:12 --------- d-----w c:\program files mp+ 2008-11-14 21:58 37,440 ----a-w c:\windows\system32\drivers\pssdklbf.drv 2008-11-14 21:58 30,272 ----a-w c:\windows\system32\drivers\pssdk31.drv 2008-11-14 21:27 22,328 ----a-w c:\documents and settings\Voodoo\Application Data\PnkBstrK.sys 2008-11-14 21:21 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-14 16:21 --------- d-----w c:\program files\Steam 2008-11-12 22:57 --------- d-----w c:\program files\Avast4 2008-10-10 18:20 --------- d-----w c:\documents and settings\All Users\Application Data\Ubisoft 2008-09-29 19:53 2,516 --sha-w c:\windows\system32\KGyGaAvL.sys 2008-09-29 10:07 --------- d-----w c:\program files\PRMT8 2008-09-29 09:51 --------- d-----w c:\documents and settings\All Users\Application Data\PRMT 2008-09-21 19:12 --------- d-----w c:\documents and settings\Voodoo\Application Data eamspeak2 . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360] "LClock"="lclock.exe" [2004-12-08 c:\windows\LClock.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-12 81000] "SkyTel"="SkyTel.EXE" [2007-08-03 c:\windows\SkyTel.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "tscuninstall"="c:\windows\system32 scupgrd.exe" [2004-08-19 44544] "nltide_3"="advpack.dll" [2006-10-27 c:\windows\system32\advpack.dll] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) "NoSMBalloonTip"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= "c:\Program Files\NCsoft\Exteel (US)\System\Exteel.exe"= "c:\WINDOWS\system32\dplaysvr.exe"= "c:\JEUX\DreamCatcher\Painkiller Overdose Demo\Bin\OverdoseDemo.exe"= "c:\WINDOWS\system32\sessmgr.exe"= "c:\JEUX\CABAL Online (Europe)\launcher\update\ESTdnheadless.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "c:\Program Files\RayV\RayV\RayV.exe"= "c:\Program Files\uTorrent\uTorrent.exe"= "c:\JEUX\FEAR\FEAR.exe"= "c:\Program Files\Steam\steamapps\voodoofr\condition zero\hl.exe"= "c:\Program Files\Ubisoft\Far Cry 2\bin\FarCry2.exe"= "c:\Program Files\Ubisoft\Far Cry 2\bin\FC2Launcher.exe"= "c:\Program Files\Ubisoft\Far Cry 2\bin\FC2Editor.exe"= "c:\Program Files\Deep Silver\Sacred 2 - Fallen Angel\system\s2gs.exe"= "c:\Program Files\Deep Silver\Sacred 2 - Fallen Angel\system\sacred2.exe"= R0 videX32;videX32;c:\windows\system32\DRIVERS\videX32.sys [2008-05-31 9216] R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-17 110160] R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-11-17 20560] S3 PsSdk31;PsSdk31;\??\c:\windows\system32\Drivers\pssdk31.drv [2008-08-06 30272] S3 PsSdkLBF;PsSdkLBF;\??\c:\windows\system32\Drivers\pssdklbf.drv [2008-08-06 37440] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{221956CB-9016-42B1-87E7-8E8939ECBFFA} - c:\windows\system32\qoMghHwu.dll . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\documents and settings\Voodoo\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-17 20:52:02 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PsSdk31] "ImagePath"="\??\c:\windows\system32\Drivers\pssdk31.drv" [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PsSdkLBF] "ImagePath"="\??\c:\windows\system32\Drivers\pssdklbf.drv" . Heure de fin: 2008-11-17 20:53:09 ComboFix-quarantined-files.txt 2008-11-17 19:52:35 Avant-CF: 18 458 042 368 octets libres Après-CF: 18,449,575,936 octets libres 150

LaMiss · Answer

C'est grave docteur ?

sa me fait flipper les diagnostiques :s

Utilisateur anonyme · Answer

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : c:\windows\LClock.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

LaMiss · Answer

C'est pas l'horloge en bas a droite ca ?

Voila le rapport

Fichier LClock.exe reçu le 2008.08.26 13:27:43 (CET)
Situation actuelle: terminé
Résultat: 0/36 (0.00%)

Antivirus 	Version 	Dernière mise à jour 	Résultat
AhnLab-V3 	2008.8.21.0 	2008.08.26 	-
AntiVir 	7.8.1.23 	2008.08.26 	-
Authentium 	5.1.0.4 	2008.08.25 	-
Avast 	4.8.1195.0 	2008.08.25 	-
AVG 	8.0.0.161 	2008.08.26 	-
BitDefender 	7.2 	2008.08.26 	-
CAT-QuickHeal 	9.50 	2008.08.25 	-
ClamAV 	0.93.1 	2008.08.26 	-
DrWeb 	4.44.0.09170 	2008.08.26 	-
eSafe 	7.0.17.0 	2008.08.24 	-
eTrust-Vet 	31.6.6048 	2008.08.25 	-
Ewido 	4.0 	2008.08.26 	-
F-Prot 	4.4.4.56 	2008.08.26 	-
F-Secure 	7.60.13501.0 	2008.08.26 	-
Fortinet 	3.14.0.0 	2008.08.26 	-
GData 	2.0.7306.1023 	2008.08.20 	-
Ikarus 	T3.1.1.34.0 	2008.08.26 	-
K7AntiVirus 	7.10.428 	2008.08.25 	-
Kaspersky 	7.0.0.125 	2008.08.26 	-
McAfee 	5369 	2008.08.25 	-
Microsoft 	1.3807 	2008.08.25 	-
NOD32v2 	3388 	2008.08.26 	-
Norman 	5.80.02 	2008.08.26 	-
Panda 	9.0.0.4 	2008.08.25 	-
PCTools 	4.4.2.0 	2008.08.25 	-
Prevx1 	V2 	2008.08.26 	-
Rising 	20.59.11.00 	2008.08.26 	-
Sophos 	4.32.0 	2008.08.26 	-
Sunbelt 	3.1.1582.1 	2008.08.26 	-
Symantec 	10 	2008.08.26 	-
TheHacker 	6.3.0.6.060 	2008.08.23 	-
TrendMicro 	8.700.0.1004 	2008.08.26 	-
VBA32 	3.12.8.4 	2008.08.25 	-
ViRobot 	2008.8.26.1350 	2008.08.26 	-
VirusBuster 	4.5.11.0 	2008.08.25 	-
Webwasher-Gateway 	6.6.2 	2008.08.26 	-
Information additionnelle
File size: 65536 bytes
MD5...: 38cc541d105dcba3d3768d6b191d9505
SHA1..: 568f14dd52ee40cb1b696fdbac9aa3b5fd95b331
SHA256: db2a4c0b6a96fd3db35ae296e28362d871cfe9f958b36adbe47077c7aec099f6
SHA512: 70b16737e81aba81ca6ac836e6e97a62635214e3fba29b768093fd23bdce3c28
e8f1e82022edabaae1a99900d9e1c938a6089893266d162280c268b9d3bc8d04
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404a3f
timedatestamp.....: 0x414dcfa0 (Sun Sep 19 18:27:44 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8e94 0x9000 6.64 2c61d109c71a3a1044703cfc9400555c
.rdata 0xa000 0x2170 0x3000 3.90 a0588aa102190cfb388c0dc7582c660e
.data 0xd000 0x1798 0x1000 3.68 8334c4f50fcff4ea8c787de9a4b1bb54
.rsrc 0xf000 0x1470 0x2000 4.03 3aef0b083195dd4a9b851c6b1eaacc57

( 7 imports )
> KERNEL32.dll: GetPrivateProfileIntA, WideCharToMultiByte, LoadLibraryA, GetProcAddress, GetUserDefaultLangID, FindFirstFileA, FindClose, _lopen, _lread, _lclose, HeapSize, GetSystemInfo, VirtualProtect, GetSystemDirectoryA, GetCPInfo, GetOEMCP, GetACP, VirtualQuery, InterlockedExchange, RtlUnwind, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, GetFileType, SetHandleCount, GetEnvironmentStringsW, GetLastError, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, GetStdHandle, WriteFile, TerminateProcess, HeapReAlloc, OpenFile, GetCurrentThreadId, GetModuleFileNameA, MultiByteToWideChar, GetCurrentProcess, SetProcessWorkingSetSize, GetPrivateProfileStringA, GetLocaleInfoA, GetLocalTime, VirtualAlloc, VirtualFree, WriteProfileStringA, lstrcmpiA, GetDriveTypeA, _lcreat, HeapCreate, HeapDestroy, GetSystemTimeAsFileTime, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, _llseek, GetVersionExA, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, HeapAlloc, HeapFree, GetPrivateProfileStringW, GetPrivateProfileIntW, GetVersion, _lwrite, ExitProcess
> USER32.dll: FindWindowA, RegisterWindowMessageA, MessageBoxA, UnregisterClassA, PostMessageA, TranslateMessage, GetMessageA, ShowWindow, DispatchMessageA, DrawEdge, DefWindowProcA, GetDesktopWindow, SendMessageA, PostQuitMessage, wsprintfA, SetTimer, KillTimer, CreatePopupMenu, GetForegroundWindow, SetForegroundWindow, TrackPopupMenu, AppendMenuA, EnableMenuItem, GetSysColor, DrawTextA, GetDC, GetSystemMetrics, GetWindowThreadProcessId, AttachThreadInput, SetFocus, DestroyMenu, LoadIconA, LoadCursorA, RegisterClassA, CreateWindowExA, CharNextA, IsWindow, MessageBoxW
> GDI32.dll: GetStockObject, SelectObject, GetTextMetricsA, DeleteObject, SetTextColor, GetTextExtentPoint32W, SetBkMode, ExtTextOutA, SetBkColor
> SHELL32.dll: ShellExecuteExA
> LC.dll: _HookStart@4, _HookEnd@0, _GetLClockVersion@4
> WINMM.dll: mciSendStringA, waveOutUnprepareHeader, waveOutWrite, waveOutClose, waveOutPrepareHeader, mmioAscend, mmioClose, mmioRead, mmioDescend, mmioOpenA, waveOutReset, waveOutOpen
> OLEAUT32.dll: -, -

( 0 exports )

LaMiss · Answer

Bon ta du allé dormir, un repos bien mérite, je tien a te remercier de ton temps M.L king, et pour ta précieuse aide !!
merci

je serais de retour demain vers 14h

Utilisateur anonyme · Answer

Bonjour , ton rapport semble propre , comment se comporte le pc , as tu remarquée des trucs suspect , disfonctionnements , logiciel qui ne fonctionnent plus , .... ?


poste stp un nouveau rapport hijackthis

LaMiss · Answer

Bonjours M.L king, le virus des pub a été neutraliser, du moins il se manifeste plus !
Pour le trojan j'ai aucune idée de comment savoir si il est toujours là, tu aurait un scan a me conseiller (anti-virus ou sur site) ?



New rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18:07, on 18/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Utilisateur anonyme · Answer

Bonjour , je regarde ton rapport en attendant effectue un scan avec toolbar s&d 




Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
* Poste le rapport généré. (C:\TB.txt)

LaMiss · Answer

Voila le rapport :

   -----------\  ToolBar S&D 1.2.4   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Multiprocessor Free :               Intel(R) Pentium(R) 4 CPU 3.00GHz )
   BIOS : BIOS Date: 11/15/07 09:58:30 Ver: 08.00.12
   USER : Voodoo ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1282 [VPS 081117-0] 4.8.1282 (Activated)
   A:\ (USB)
   C:\ (Local Disk) - NTFS - Total:152 Go (Free:16 Go)
   D:\ (CD or DVD)
   E:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
   Option : [1] ( 18/11/2008|14:53 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Voodoo) - {99B98C2C-7274-45a3-A640-D9DF1A1C8460} => cookieculler
   (Voodoo) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
   (Voodoo) - {DDC359D1-844A-42a7-9AA1-88A850A938A8} => chrome
   (Voodoo) - {99B98C2C-7274-45a3-A640-D9DF1A1C8460} => cookieculler
   (Voodoo) - {b9db16a4-6edc-47ec-a1f4-b86292ed211d} => dwhelper
   (Voodoo) - {DDC359D1-844A-42a7-9AA1-88A850A938A8} => chrome


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(Patch) Gta 3 San Andreas .zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party.exe
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(PC GAME) - WORMS WORLD PARTY .ZIP
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Gta San Andreas Pc.zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party fr (Without Wormsnet).exe
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party.zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party Wwp.rar
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms_World_Party.zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Gta San Andreas Ok.zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party .zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party .zip
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\WWP_PL_v1.1.rar
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\[Jeux PC]Worms World Party Full Fr Crack By !llusion (Tested).rar
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers  Bƒtisseurs D'Empires\Crack - The Settlers 6
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers  Bƒtisseurs D'Empires\Crack - The Settlers 6\BBLua51.dll
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers  Bƒtisseurs D'Empires\Crack - The Settlers 6\cld.dll
   C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers  Bƒtisseurs D'Empires\Crack - The Settlers 6\The Settlers - Rise of an Empire - 1.5.4279.0 Crack.rar
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\eav_nt32_fra.msi
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\PROCD~1.TXT
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch\nod32_reset.exe
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\Ccp.exe
   C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\digerati.nfo



   1 - "C:\ToolBar SD\TB_1.txt" - 18/11/2008|14:53 - Option : [1]

   -----------\  Fin du rapport a 14:53:46.45

Utilisateur anonyme · Answer

tes cracks sont infectés il faut tout virer

fait ceci


Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".



:Processes
explorer.exe

:Services

:Reg

:Files
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(Patch) Gta 3 San Andreas .zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party.exe
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(PC GAME) - WORMS WORLD PARTY .ZIP
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Gta San Andreas Pc.zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party fr (Without Wormsnet).exe
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party.zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party Wwp.rar
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms_World_Party.zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Gta San Andreas Ok.zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party .zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party .zip
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\WWP_PL_v1.1.rar
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\[Jeux PC]Worms World Party Full Fr Crack By !llusion (Tested).rar
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\BBLua51.dll
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\cld.dll
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\The Settlers - Rise of an Empire - 1.5.4279.0 Crack.rar
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\eav_nt32_fra.msi
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\PROCD~1.TXT
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch\nod32_reset.exe
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\Ccp.exe
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\digerati.nfo 

:Commands
[start explorer]

[emptytemp]

[Reboot]




Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

LaMiss · Answer

Voila le rapport :


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(Crack) Gta 3 San Andreas Nocd.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(crack) Worms World Party.exe moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\(PC GAME) - WORMS WORLD PARTY - CRACK NO CD.ZIP moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Brothers In Arms - Road To Hill 30 - Fr - Patch 1.02 + crack NoDvd-NoCd 1.0 et 1.02.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Brothers In Arms Road To Hill 30 v1 0 Crack Nocd-Hoodlum.rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Crack Gta San Andreas Pc.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Crack No CD Worms World Party fr (Without Wormsnet).exe moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Crack NoCd Worms World Party.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Crack Worms World Party Wwp.rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Crack Worms_World_Party.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Gta San Andreas Nocd Crack Ok.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Serial Nero 7 Serial Nero 7 Keygen Nero 7 Crack Nero 7 Premium Full Program.rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Unreal Tournament III Developer Serial [ Epic Games Full Access - UnlockAll - No CD Crack Needed !] [ UT3 - UT2007 - UT2K7].txt moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party Nocd Crack.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\Worms World Party Patch Crack.zip moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\WWP_PL_v1.1_NO_CD_CRACK.rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6 moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\BBLua51.dll moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\cld.dll moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\The Settlers Bƒtisseurs D'Empires\Crack - The Settlers 6\The Settlers - Rise of an Empire - 1.5.4279.0 Crack.rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Jeux\Incoming\[Jeux PC]Worms World Party Full Fr Crack By !llusion (Tested).rar moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania moved successfully.
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania moved successfully.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania not found.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\eav_nt32_fra.msi not found.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch not found.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\PROCD~1.TXT not found.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\Anti virus\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch\nod32_reset.exe not found.
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Boilsoft.RM.Converter.v3.28\Crack moved successfully.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Boilsoft.RM.Converter.v3.28\Crack\RMConverter.exe not found.
C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack moved successfully.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\Ccp.exe not found.
File/Folder C:\DOCUME~1\Voodoo\Mes documents\Logiciels\converter_coller\Mystik_Media_Context_Convert_Pro_v3.1-BY-MAFIAROX\Mystik Media Context Convert Pro v3.1\Crack\digerati.nfo not found.
========== COMMANDS ==========
Explorer started successfully
File delete failed. C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF1F2.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF228.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF253.tmp scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF27E.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_59c.dat scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_76c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
 
OTMoveIt3 by OldTimer - Version 1.0.7.1 log created on 11182008_154707

Files moved on Reboot...
File C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF1F2.tmp not found!
File C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF228.tmp not found!
File C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF253.tmp not found!
File C:\DOCUME~1\Voodoo\LOCALS~1\Temp\~DFF27E.tmp not found!
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
File C:\WINDOWS\temp\Perflib_Perfdata_59c.dat not found!
File C:\WINDOWS\temp\Perflib_Perfdata_76c.dat not found!
C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Voodoo\Local Settings\Application Data\Mozilla\Firefox\Profiles\fes230pp.default\XUL.mfl moved successfully.

Utilisateur anonyme · Answer

poste un nouveau rapport hijackthis

LaMiss · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:59:16, on 18/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS
otepad.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'Default user')
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

Utilisateur anonyme · Answer

corel et photoshop , tu les as achetés ou ce sont d'autres cracks ?

LaMiss · Answer

Corel acheté et photoshop cs3 une version d essai, qui est périmé depuis longtemps, mais j'ai du mal a le virer car j'ai plus les uninstalle dans les fichier et dans suppressions/ajout de fichier, photoshop figure toujours mais sa n'affiche plus supprimer, (petit problème en utilisant EasyClean)

LaMiss · Answer

Je suis pas du style a tout piquer sur internet, les crack du rapport en haut, c'est worms la 1ere version du jeu, que j'ai voulu tester le serveur et j'ai bien fait de pas acheter le jeux car les serveur worms sont vide, personne avec qui jouer :s
et quelque petit utilitaire pour convertir les vidéos, mais il y'a beaucoup de gratuits, je sais même plus pourquoi je les avais pris ce là.

mais je les utilises jamais, donc c'est bien que tu m'aide sa me fait faire le ménage :)

Utilisateur anonyme · Answer

ok double clique sur hijackthis , do a scan systeme only et coche la case devant cette ligne puis clique sur fix chequed 

O23 - Service: FLEXnet Licensing Service - Unknown owner - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe (file missing) 

si une tu as une invitation a redemarrer ton pc , fait le .


ensuite



Telecharge

1)-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.



2) Redémarre en mode sans échec

Regarde ici avant : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.



Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.



3) Suppression de fichiers inutiles avec CCleaner

Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage
Clique sur registre cherche et repare les erreurs effectue trois fois la manipe pour que se sois efficace !

4) Rapports

Fais redémarrer le PC en mode normal puis poste en réponse :

---------

ensuite suppression des outils utilisés


· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


et derniere manip a effectuer tu dois purger ta restauration syteme afin d'y supprimer les virus restes en memoire dans ton pc

http://www.libellules.ch/desactiver_restauration.php

desactive la et ensuite tu la reactive puis tu cree un nouveau point de restauration sains


ensuite pour controle




* Fais un scan antivirus en ligne ICI :

https://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

le rapport de scan se trouve ici

C:\windows\bdoscan8\scanres.txt ou scanres.html

LaMiss · Answer

J'ai redemarré en mode sans echec puis tout vidé avec CClener, mais je sais pas ou est le rapport !

LaMiss · Answer

Apparemment a la fin il restait 0 octets

je passe a la suite alors

Utilisateur anonyme · Answer

C'est une petite erreur de Carrosso , qui as modifié  un de mes canned speech , et qui a commis une petite erreur en effectuant son montage !!!!   faut lui tirer l'Oreille !!!


ccleaner ne delivre aucuns rapports !

passe a la suite !




· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
ftp://ftp.commentcamarche.com/download/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


et derniere manip a effectuer tu dois purger ta restauration syteme afin d'y supprimer les virus restes en memoire dans ton pc

http://www.libellules.ch/desactiver_restauration.php

desactive la et ensuite tu la reactive puis tu cree un nouveau point de restauration sains


ensuite pour controle




* Fais un scan antivirus en ligne ICI :

https://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

le rapport de scan se trouve ici

C:\windows\bdoscan8\scanres.txt ou scanres.html

LaMiss · Answer

Alors pour ToolsCleaner :
a l'ouverture du programme le message suivant s'affiche :

"C:\DOCUME~1\Voodoo\bureau\TOOLSC~1.EXE
Le processeur NTVDM a rencontré une instruction non autorisés.
CS:0fa..........................22 Choisissez 'Fermer pour mettre fin à m'application.

LaMiss · Answer

Que dois-je faire chef ?

Utilisateur anonyme · Answer

ouvre otmoveit 3 puis clique sur cleanup

ensuite passe a la suite deactivation puis reactivation de la restauration systeme 

ensuite scan en ligne

LaMiss · Answer

Il doit y avoir encore pour 1H de scan !

donc dans l'attente j'aimerais ton aide pour m'aider a déinstaller correcement photoshop,

je t'expose mon probleme, apres la fin de la periode d'essai j'ai voulue le supprimer avec easycleaner,
j'ai fait ajout/supprimer puis sur photoshop j'ai mis supprimer au lieu de désinstaller,
et maintenent je me retrouve avec ca, dans ma liste ajout/suppression du panneau de config :

https://imageshack.com/

tous les composant du logiciel se sont séparé, et quand je click sur l'un pour essayer de le desinstaller, le logo supprimé n'apparait pas,

si ta une ptite idee

merci

LaMiss · Answer

Voila le rapport scanres.html :

BitDefender Online Scanner
	

Rapport d'analyse généré à: Tue, Nov 18, 2008 - 19:11:15

 

Voie d'analyse: A:\;C:\;D:\;E:\;
	

 

Statistiques

Temps
	

00:34:43

Fichiers
	

130844

Directoires
	

6017

Secteurs de boot
	

0

Archives
	

1365

Paquets programmes
	

18098
	

 
	

 

Résultats

Virus identifiés
	

1

Fichiers infectés
	

2

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

2
	

 
	

 

Info sur les moteurs

Définition virus
	

2221290

Version des moteurs
	

AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Analyse des plugins
	

16

Archive des plugins
	

43

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

4
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\Program Files	mp+\utils\downmp3.exe
	

Infecté par: Trojan.Generic.1113057

C:\Program Files	mp+\utils\downmp3.exe
	

Supprimé

C:\System Volume Information\_restore{EEF96D61-988D-475A-9E0E-754A4E1385E2}\RP2\A0000002.exe
	

Infecté par: Trojan.Generic.1113057

C:\System Volume Information\_restore{EEF96D61-988D-475A-9E0E-754A4E1385E2}\RP2\A0000002.exe
	

Supprimé

Utilisateur anonyme · Answer

bien ton pc me semble ètre gueri .
controle manuellement que ce dossier est bien été supprimé

C:\Program Files	mp+\utils\downmp3.exe 


ensuite concernant adobe photoshop essaie de le reinstaler afin de le redesinstaler 

https://www.clubic.com/telecharger-fiche9635-adobe-photoshop-cs6.html


essaye de t'inscrire sur ccm j'aurais un petit cadeau pour toi , si ca veu bien fonctionner .

LaMiss · Answer

Oui le fichier n'y ai plus !!

et pour ce dossier je peut le supprimer ? "C:\WINDOWS\BDOSCAN8"

Un kdo hooo :) c'est pas plutot moi qui devrais t'en faire un pour ta precieuse aide ?

ArtMisstice · Answer

J'aurais pu m'inscrire dés le début c'est vrai, surtout que je papote souvent sur ce forum

ArtMisstice · Answer

C'est qu'ils se cachent de partout c'est trojan :s même dans tmp+, mais comment savoir si tout est bien propre maintenant, et comment faire pour éviter qu'ils ne se réinvitent chez moi ^^

ArtMisstice · Answer

Je doit avouer que j'y comprend plus rien la

un coup c'est "M.L king" qui me parle puis "el carroso" qui fini les phrase ?
pourquoi 2 compte pour la même personne ?
et sur quoi va m'amener ce message privé ?

un trojan ? sa serais le comble quand même ^^

si tu vire mon trojan pour y mettre le tient, serais dommage,

je suis ptete un peut parano mais si tu pouvais me donner quelque explication

Merci

Utilisateur anonyme · Answer

Sinon celas voudrais dire que je cours trés vite !!! lol pres de 200 km nous separent 


desisntal avast qui est bien moins performant que antivir ( en ce moment avast ne te protege pas vraiment , la preuve ton infection) http://www.commentcamarche.net/telecharger/telechargement 34055246 utilitaire de desinstallation de avast


anti virus : antivir

https://www.malekal.com/avira-free-security-antivirus-gratuit/

http://mickael.barroux.free.fr/securite/antivir.php <- tutoriel + complet 

ensuite il te faudrais un pare feu mais je pense que ta machine ne vas pas aimer si elle est si peu puissante !!

ArtMisstice · Answer

Mon problème est résolu (grâce à M.L king) si les modos peuvent le mettre tel qu'elle car je ne sais pas ou aller, merci

Et hommage a M.L King qui m'a aider durant 2 jours ^^

merci encore et dsl d'avoir pu douter >.<
je suis parfois sotte et je fait d'un tas de terre une montagne

tien je vais mettre ça en signature ^^

Utilisateur anonyme · Answer

Mais non , tu as tout a fait raison de te mefier , c'est le meilleur des comportements a avoir toujours reflechir avant de cliquer , et ne jamais executer un logiciel telecharger sans l'avoir enregistré sur ton disque et scanné avec ton antivirus , ca t'eviteras beaucoup de soucis !!!!

ne t'en fait pas pour le statu  resolu c'est pas dramatique l'essentiel c'est que ton pc sois en forme !!


pense bien as instaler antivir , c'est le meilleur antivirus free du moment en plus , il est moins gourmand que avast est monte bien la guarde !!

ArtMisstice · Answer

Ok je vais mettre Antivir a la place d'avast, il doit surement être mieux,

si tu peut me conseiller un pare feu, j'essayerais bien si cela me sécurise

Utilisateur anonyme · Answer

bien sure regarde ici comodo pro hihi 

tu trouveras un lien pour le telecharger ainsi qu'un tutoriel en image

ArtMisstice · Answer

J'ai pas pu résister a venir encore dire, 

MERCIIII
:p

Utilisateur anonyme · Answer

bonjour , heureux que tout fonctionne , bon surf , et fait attention sur quoi tu clique ! lol

VIRUS (pub+lsass infecté par trojan)

60 réponses

Discussions similaires