Au secours : un virus me bloque !!! Fermé

Question

Bonjour,
Un ou plusieurs virus me bloque sur Firefox et surtout m'empêche de lancer certaines application comme malwarebytes.

Voici un rapport de hijack.
Messieurs les cracks, j'ai besoin de toutes vos compétences !
D'avance merci beaucoup !!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:13:40, on 19/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32	wext.exe,
O2 - BHO: C:\WINDOWS\system32\jsne87fidgf.dll - {c5bf49a2-94f3-42bd-f434-3604812c897d} - C:\WINDOWS\system32\jsne87fidgf.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /SYNC
O4 - HKLM\..\Run: [PHIME2002A] "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] "C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe"
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] "C:\Program Files\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] "C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe" /Start
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] "C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\Briand\Local Settings\Application Data\spool.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\Briand\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810369239466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [Twain] C:\Documents and Settings\Briand\Application Data\Twain\Twain.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe
O4 - HKUS\.DEFAULT\..\Run: [brastk] C:\WINDOWS\system32\brastk.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [autoload] C:\Documents and Settings\LocalService.AUTORITE NT\Local Settings\Application Data\spool.exe (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [java_sun] Java (Sun)
O14 - IERESET.INF: START_PAGE_URL=https://www8.hp.com/fr/fr/home.html
O20 - AppInit_DLLs: karna.dat
O20 - Winlogon Notify: winctrl32 - WinCtrl32.dll (file missing)
O20 - Winlogon Notify: zqtcrtb - C:\WINDOWS\
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (antivirscheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe (file missing)
O23 - Service: Java Quick Starter (javaquickstarterservice) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Planificateur de tâches (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\ctfmon.exe (file missing)
O23 - Service: Sygate Personal Firewall (smcservice) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

gen-hackman · Answer

salut :


http://siri.urz.free.fr/Fix/SmitfraudFix.php
 

 
Télécharger Smitfraudfix par S!RI : 
Décompresser l'archive 
Exécuter le en double cliquant sur Smitfraudfix.cmd 
Appuyer sur une touche pour continuer 
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française 
Au menu, choisir l’option 4 puis 1 : Recherche 
Poster le rapport ainsi généré dans le forum Virus/Sécurité (ou le cas échéant à la suite de votre message) :

gen-hackman · Answer

................................????????????????????

gen-hackman · Answer

tu n as pas reussi a le telecharger ou a le lancer ?

Utilisateur anonyme · Answer

Hi,

Il a du boulot à faire dessus.

Commence par ceci:

Combofix. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts...

Fais exactement ce qui suit :



Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :
Fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape C-Fix, choisis le bureau comme destination et valide : 

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis....)

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici : TUTO
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Utilisateur anonyme · Answer

Hi,

OK.

A demain alors.

Je serais là.

Alut.

Utilisateur anonyme · Answer

Hi,

Essai celui la de façon normal.

Télécharges- FindyKill de Chiquitine29 :

FindyKill de Chiquitine29

->-Enregistres le sur ton bureau et pas ailleurs !

-!! Déconnectes toi et fermes toute applications en cours !!

( Si ton anti-virus s'affolle au moment de l'enregistrement ou de l'utilisation de l'outil , ignore l'alerte ...)

-> Cliques sur "-FindyKill.exe" pour lancer l'installe de l'outil . Ne touche surtout pas aux paramètres d'installation.


-Notes importantes :
* si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

--> Double cliques sur le raccourci " FindyKill " qui est sur ton bureau .

-->choisis l'option 1 ( recherche ) . Puis laisses travailler l'outil sans rien toucher ...

Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )

Alut.

lacoquine · Answer

Allo, je viens de le loader mais quand je tente de l'Installer, ça me dit this file contains invalid data!!!

Utilisateur anonyme · Answer

Hi,

tente le en mode sans échec avec prise en charge du réseau.

Alut.

lacoquine · Answer

dois-je etre connecté à internet?

lacoquine · Answer

Ça n'a pas fonctionné

Utilisateur anonyme · Answer

Hi, Essai celui la alors. ==>>Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.<<=== Toolbar-S&D !! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !! * double-cliques sur l'.exe pour lancer l'installe et laisses toi guider ... * Une fois fait, cliques sur le raccourci créé sur ton bureau pour lancer l'outil . * Choisis l'option 1 ( "recherche") et tapes "entrée" . * Une fois le scan finit , un rapport va apparaître, copie/colles l'intégralité de son contenu dans ta prochaine réponse ... ( le rapport est en outre sauvegardé ici -> C:\TB.txt ) Alut.

lacoquine · Answer

Et VOila :)

-----------\  ToolBar S&D 1.2.4   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Celeron(R) D CPU 3.33GHz )
   BIOS : BIOS Date: 12/25/2006 Ver: 08.00.13
   USER : Marie-Claude ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   F:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
   G:\ (Local Disk) - NTFS - Total:33 Go (Free:33 Go)

   "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
   Option : [1] ( 2008-11-19|13:29 )

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@hosted.platrium[1].txt
   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@7search[2].txt
   C:\WINDOWS\System32\WinNB55.dll
   C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\ICD1.tmp
   C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
so2C.tmp
   C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
sp31.tmp

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"


   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]




   1 - "C:\ToolBar SD\TB_1.txt" - 2008-11-19|13:31 - Option : [1]

   -----------\  Fin du rapport a 13:31:57,18

Utilisateur anonyme · Answer

Hi,

Nettoyage avec ToolBar S&D :

!! Déconnectes toi et fermes toute tes applications en cours le temps de la manipe !!

Relances Toolbar-S&D en double-cliquant sur le raccourci.
-->Tapes sur l'option 2 ( "nettoyage" ) puis tapes sur "Entrée".

Note : ne touches à rien lors de la suppression !

Un rapport sera généré à la fin du processus : postes son contenu dans ta prochaine réponse
=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=*=
Télécharge Lop S&D ici :

Lop S&D

==>Double-clique dessus pour lancer l'installation

==>Puis double-clique sur le raccourci Lop S&D présent sur ton bureau

==>Séléctionne la langue souhaitée 

 ==> Puis choisis l'Option 1 ( Recherche )

==>>Patiente jusqu'à la fin du scan

Poste le rapport généré ( C:lopR.txt )

Alut.

lacoquine · Answer

-----------\  ToolBar S&D 1.2.4   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Celeron(R) D CPU 3.33GHz )
   BIOS : BIOS Date: 12/25/2006 Ver: 08.00.13
   USER : Marie-Claude ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   F:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
   G:\ (Local Disk) - NTFS - Total:33 Go (Free:33 Go)

   "C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )
   Option : [2] ( 2008-11-19|13:52 )

   -----------\ SUPPRESSION

   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@hosted.platrium[1].txt
   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@7search[2].txt
   Supprime! - C:\WINDOWS\System32\WinNB55.dll
   Supprime! - C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\ICD1.tmp
   Supprime! - C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
so2C.tmp
   Supprime! - C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
sp31.tmp

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
   "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
   "Start Page"="https://www.msn.com/fr-fr/"


   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]




   1 - "C:\ToolBar SD\TB_1.txt" - 2008-11-19|13:31 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 2008-11-19|13:54 - Option : [2]

   -----------\  Fin du rapport a 13:54:20,62

Utilisateur anonyme · Answer

Hi,

Fait lop s&d.

Alut.

lacoquine · Answer

Voici l'autre :


   --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Celeron(R) D CPU 3.33GHz )
   BIOS : BIOS Date: 12/25/2006 Ver: 08.00.13
   USER : Marie-Claude ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   F:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
   G:\ (Local Disk) - NTFS - Total:33 Go (Free:33 Go)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [1] ( 2008-11-19|13:57 )
 
   --------------------\  Listing des dossiers dans APPLIC~1

   [2008-09-19|08:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [2008-07-08|19:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
   [2008-11-18|20:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg8
   [2008-11-18|13:13] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
   [2008-07-08|19:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP
   [2008-09-21|17:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [2008-07-08|19:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
   [2008-07-08|19:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
   [2008-09-19|08:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NOS
   [2008-07-11|06:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pure Networks
   [2008-07-30|05:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [2008-07-21|07:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

   [2008-07-09|23:43] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [2008-11-18|20:06] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [2008-07-30|20:21] C:\DOCUME~1\MARIE-~1\APPLIC~1\Adobe
   [2008-07-08|19:33] C:\DOCUME~1\MARIE-~1\APPLIC~1\Ahead
   [2008-07-08|18:40] C:\DOCUME~1\MARIE-~1\APPLIC~1\ATI
   [2008-07-14|09:31] C:\DOCUME~1\MARIE-~1\APPLIC~1\DivX
   [2008-11-13|17:09] C:\DOCUME~1\MARIE-~1\APPLIC~1\flightgear.org
   [2008-11-13|18:52] C:\DOCUME~1\MARIE-~1\APPLIC~1\fltk.org
   [2008-07-30|20:15] C:\DOCUME~1\MARIE-~1\APPLIC~1\Google
   [2008-07-08|19:04] C:\DOCUME~1\MARIE-~1\APPLIC~1\HP
   [2008-07-08|18:08] C:\DOCUME~1\MARIE-~1\APPLIC~1\Identities
   [2008-11-01|16:27] C:\DOCUME~1\MARIE-~1\APPLIC~1\LimeWire
   [2008-07-11|11:30] C:\DOCUME~1\MARIE-~1\APPLIC~1\Macromedia
   [2008-11-08|21:46] C:\DOCUME~1\MARIE-~1\APPLIC~1\Microsoft
   [2008-07-08|20:03] C:\DOCUME~1\MARIE-~1\APPLIC~1\Mozilla
   [2008-07-12|13:27] C:\DOCUME~1\MARIE-~1\APPLIC~1\Sun
   [2008-11-17|20:07] C:\DOCUME~1\MARIE-~1\APPLIC~1\uTorrent
   [2008-07-08|19:49] C:\DOCUME~1\MARIE-~1\APPLIC~1\WinRAR

   [2008-11-18|20:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [2008-11-19 13:27][--ah-----] C:\WINDOWS	asks\SA.DAT
   [2002-08-30 07:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [2008-07-08|19:55] C:\Program Files\3Planesoft Screensaver Manager
   [2008-09-19|08:09] C:\Program Files\Adobe
   [2008-07-08|19:55] C:\Program Files\Ancient Castle 3D Screensaver
   [2008-07-08|18:37] C:\Program Files\ATI Technologies
   [2008-08-31|14:54] C:\Program Files\Common Files
   [2008-07-08|17:59] C:\Program Files\ComPlus Applications
   [2008-07-08|18:41] C:\Program Files\DIFX
   [2008-07-13|20:21] C:\Program Files\DivX
   [2008-07-18|17:51] C:\Program Files\Dofus
   [2008-08-19|18:51] C:\Program Files\eMule
   [2008-11-18|21:10] C:\Program Files\Fichiers communs
   [2008-11-13|18:52] C:\Program Files\FlightGear
   [2008-11-13|19:07] C:\Program Files\FMS
   [2008-07-30|20:15] C:\Program Files\Google
   [2008-08-31|14:39] C:\Program Files\Gpotato.eu
   [2008-07-08|19:17] C:\Program Files\Grisoft
   [2008-07-08|19:02] C:\Program Files\Hewlett-Packard
   [2008-07-08|19:04] C:\Program Files\HP
   [2008-11-17|19:35] C:\Program Files\iCheck
   [2008-07-08|18:51] C:\Program Files\InstallShield Installation Information
   [2008-10-15|02:08] C:\Program Files\Internet Explorer
   [2008-07-08|20:16] C:\Program Files\Java
   [2008-07-08|19:59] C:\Program Files\LimeWire
   [2008-08-14|02:02] C:\Program Files\Messenger
   [2008-07-08|18:03] C:\Program Files\microsoft frontpage
   [2008-07-08|19:45] C:\Program Files\Microsoft Office
   [2008-07-08|19:45] C:\Program Files\Microsoft Visual Studio
   [2008-07-08|19:45] C:\Program Files\Microsoft Works
   [2008-07-08|19:44] C:\Program Files\Microsoft.NET
   [2008-07-08|18:00] C:\Program Files\Movie Maker
   [2008-11-18|21:14] C:\Program Files\Mozilla Firefox
   [2008-07-08|19:45] C:\Program Files\MSBuild
   [2008-07-10|17:22] C:\Program Files\MSN
   [2008-07-08|17:58] C:\Program Files\MSN Gaming Zone
   [2008-07-08|20:27] C:\Program Files\MSN Messenger
   [2008-07-09|23:41] C:\Program Files\MSXML 4.0
   [2008-07-08|19:32] C:\Program Files\Nero
   [2008-07-08|18:00] C:\Program Files\NetMeeting
   [2008-09-19|08:07] C:\Program Files\NOS
   [2008-07-08|17:59] C:\Program Files\Online Services
   [2008-07-09|23:48] C:\Program Files\Outlook Express
   [2008-11-17|19:39] C:\Program Files\ppcbooster
   [2008-11-17|19:35] C:\Program Files\QdrDrive
   [2008-07-08|18:51] C:\Program Files\Realtek
   [2008-07-08|18:01] C:\Program Files\Services en ligne
   [2008-11-17|20:52] C:\Program Files\SpeedTest
   [2008-11-18|21:44] C:\Program Files\Trend Micro
   [2008-07-08|18:08] C:\Program Files\Uninstall Information
   [2008-07-13|19:22] C:\Program Files\uTorrent
   [2008-11-17|19:39] C:\Program Files\VnrBlock
   [2008-11-17|19:35] C:\Program Files\VnrPack
   [2008-10-04|14:00] C:\Program Files\Windows Media Connect 2
   [2008-10-04|14:02] C:\Program Files\Windows Media Player
   [2008-07-08|17:58] C:\Program Files\Windows NT
   [2008-07-08|18:01] C:\Program Files\WindowsUpdate
   [2008-07-08|19:49] C:\Program Files\WinRAR
   [2008-07-08|18:03] C:\Program Files\xerox

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [2008-07-30|20:16] C:\Program Files\Fichiers communs\Adobe
   [2008-07-08|19:33] C:\Program Files\Fichiers communs\Ahead
   [2008-07-08|19:45] C:\Program Files\Fichiers communs\DESIGNER
   [2008-07-08|19:02] C:\Program Files\Fichiers communs\Hewlett-Packard
   [2008-07-08|19:04] C:\Program Files\Fichiers communs\HP
   [2008-07-08|18:50] C:\Program Files\Fichiers communs\InstallShield
   [2008-07-08|19:58] C:\Program Files\Fichiers communs\Java
   [2008-07-08|19:52] C:\Program Files\Fichiers communs\Microsoft Shared
   [2008-07-08|18:00] C:\Program Files\Fichiers communs\MSSoap
   [2008-07-08|13:51] C:\Program Files\Fichiers communs\ODBC
   [2008-07-08|18:00] C:\Program Files\Fichiers communs\Services
   [2008-07-08|13:51] C:\Program Files\Fichiers communs\SpeechEngines
   [2008-07-09|23:48] C:\Program Files\Fichiers communs\System

   --------------------\  Process

   ( 47 Processes )

   iexplore.exe ~ [PID:3068]

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@advertstream[2].txt
   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@advertising[1].txt
   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@adopt.euroclick[2].txt
   C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@partypoker[2].txt
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]



   [F:3306][D:58]-> C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
   [F:537][D:0]-> C:\DOCUME~1\MARIE-~1\Cookies
   [F:4388][D:12]-> C:\DOCUME~1\MARIE-~1\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 2008-11-19|14:07 - Option : [1]

   --------------------\  Fin du rapport a 14:07:54

Utilisateur anonyme · Answer

Hi,

Relance Lop S&D

Choisis cette fois ci l'Option 2 ( Suppression )

Ne ferme pas la fenêtre lors de la suppression !

Poste le rapport généré ( C:\lopR.txt )

( Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr, Onglet Fichier,

Nouvelle tâche, tape explorer.exe et valide )

Relance combofix.

Alut.

lacoquine · Answer

Voila le rapport 
 --------------------\  Lop S&D 4.2.4-9c   XP/Vista

   Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
   X86-based PC ( Uniprocessor Free :               Intel(R) Celeron(R) D CPU 3.33GHz )
   BIOS : BIOS Date: 12/25/2006 Ver: 08.00.13
   USER : Marie-Claude ( Administrator )
   BOOT : Normal boot
   C:\ (Local Disk) - NTFS - Total:48 Go (Free:26 Go)
   D:\ (CD or DVD) - CDFS - Total:0 Go (Free:0 Go)
   F:\ (Local Disk) - NTFS - Total:29 Go (Free:29 Go)
   G:\ (Local Disk) - NTFS - Total:33 Go (Free:33 Go)

   "C:\Lop SD" ( MAJ : 01-11-2008|16:30 )
   Option : [2] ( 2008-11-19|14:17 )


   \\\\\\\\\\\\\\\ SUPPRESSION

   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@advertstream[2].txt
   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@advertising[1].txt
   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@adopt.euroclick[2].txt
   Supprime! - C:\DOCUME~1\MARIE-~1\Cookies\marie-claude@partypoker[2].txt
 
   \\\\\\\\\\\\\\\ 

 
   --------------------\  Listing des dossiers dans APPLIC~1

   [2008-09-19|08:10] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe
   [2008-07-08|19:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ahead
   [2008-11-18|20:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\avg8
   [2008-11-19|14:14] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Google Updater
   [2008-07-08|19:04] C:\DOCUME~1\ALLUSE~1\APPLIC~1\HP
   [2008-09-21|17:29] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft
   [2008-07-08|19:46] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help
   [2008-07-08|19:32] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Nero
   [2008-09-19|08:07] C:\DOCUME~1\ALLUSE~1\APPLIC~1\NOS
   [2008-07-11|06:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pure Networks
   [2008-07-30|05:33] C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP
   [2008-07-21|07:26] C:\DOCUME~1\ALLUSE~1\APPLIC~1\Windows Genuine Advantage

   [2008-07-09|23:43] C:\DOCUME~1\DEFAUL~1\APPLIC~1\Microsoft

   [2008-11-18|20:06] C:\DOCUME~1\LOCALS~1\APPLIC~1\Microsoft

   [2008-07-30|20:21] C:\DOCUME~1\MARIE-~1\APPLIC~1\Adobe
   [2008-07-08|19:33] C:\DOCUME~1\MARIE-~1\APPLIC~1\Ahead
   [2008-07-08|18:40] C:\DOCUME~1\MARIE-~1\APPLIC~1\ATI
   [2008-07-14|09:31] C:\DOCUME~1\MARIE-~1\APPLIC~1\DivX
   [2008-11-13|17:09] C:\DOCUME~1\MARIE-~1\APPLIC~1\flightgear.org
   [2008-11-13|18:52] C:\DOCUME~1\MARIE-~1\APPLIC~1\fltk.org
   [2008-07-30|20:15] C:\DOCUME~1\MARIE-~1\APPLIC~1\Google
   [2008-07-08|19:04] C:\DOCUME~1\MARIE-~1\APPLIC~1\HP
   [2008-07-08|18:08] C:\DOCUME~1\MARIE-~1\APPLIC~1\Identities
   [2008-11-01|16:27] C:\DOCUME~1\MARIE-~1\APPLIC~1\LimeWire
   [2008-07-11|11:30] C:\DOCUME~1\MARIE-~1\APPLIC~1\Macromedia
   [2008-11-08|21:46] C:\DOCUME~1\MARIE-~1\APPLIC~1\Microsoft
   [2008-07-08|20:03] C:\DOCUME~1\MARIE-~1\APPLIC~1\Mozilla
   [2008-07-12|13:27] C:\DOCUME~1\MARIE-~1\APPLIC~1\Sun
   [2008-11-17|20:07] C:\DOCUME~1\MARIE-~1\APPLIC~1\uTorrent
   [2008-07-08|19:49] C:\DOCUME~1\MARIE-~1\APPLIC~1\WinRAR

   [2008-11-18|20:06] C:\DOCUME~1\NETWOR~1\APPLIC~1\Microsoft
 
   --------------------\  Tâches planifiées dans C:\WINDOWS	asks

   [2008-11-19 13:27][--ah-----] C:\WINDOWS	asks\SA.DAT
   [2002-08-30 07:00][-r-h-----] C:\WINDOWS	asks\desktop.ini

   --------------------\  Listing des dossiers dans C:\Program Files

   [2008-07-08|19:55] C:\Program Files\3Planesoft Screensaver Manager
   [2008-09-19|08:09] C:\Program Files\Adobe
   [2008-07-08|19:55] C:\Program Files\Ancient Castle 3D Screensaver
   [2008-07-08|18:37] C:\Program Files\ATI Technologies
   [2008-08-31|14:54] C:\Program Files\Common Files
   [2008-07-08|17:59] C:\Program Files\ComPlus Applications
   [2008-07-08|18:41] C:\Program Files\DIFX
   [2008-07-13|20:21] C:\Program Files\DivX
   [2008-07-18|17:51] C:\Program Files\Dofus
   [2008-08-19|18:51] C:\Program Files\eMule
   [2008-11-18|21:10] C:\Program Files\Fichiers communs
   [2008-11-13|18:52] C:\Program Files\FlightGear
   [2008-11-13|19:07] C:\Program Files\FMS
   [2008-07-30|20:15] C:\Program Files\Google
   [2008-08-31|14:39] C:\Program Files\Gpotato.eu
   [2008-07-08|19:17] C:\Program Files\Grisoft
   [2008-07-08|19:02] C:\Program Files\Hewlett-Packard
   [2008-07-08|19:04] C:\Program Files\HP
   [2008-11-17|19:35] C:\Program Files\iCheck
   [2008-07-08|18:51] C:\Program Files\InstallShield Installation Information
   [2008-10-15|02:08] C:\Program Files\Internet Explorer
   [2008-07-08|20:16] C:\Program Files\Java
   [2008-07-08|19:59] C:\Program Files\LimeWire
   [2008-08-14|02:02] C:\Program Files\Messenger
   [2008-07-08|18:03] C:\Program Files\microsoft frontpage
   [2008-07-08|19:45] C:\Program Files\Microsoft Office
   [2008-07-08|19:45] C:\Program Files\Microsoft Visual Studio
   [2008-07-08|19:45] C:\Program Files\Microsoft Works
   [2008-07-08|19:44] C:\Program Files\Microsoft.NET
   [2008-07-08|18:00] C:\Program Files\Movie Maker
   [2008-11-18|21:14] C:\Program Files\Mozilla Firefox
   [2008-07-08|19:45] C:\Program Files\MSBuild
   [2008-07-10|17:22] C:\Program Files\MSN
   [2008-07-08|17:58] C:\Program Files\MSN Gaming Zone
   [2008-07-08|20:27] C:\Program Files\MSN Messenger
   [2008-07-09|23:41] C:\Program Files\MSXML 4.0
   [2008-07-08|19:32] C:\Program Files\Nero
   [2008-07-08|18:00] C:\Program Files\NetMeeting
   [2008-09-19|08:07] C:\Program Files\NOS
   [2008-07-08|17:59] C:\Program Files\Online Services
   [2008-07-09|23:48] C:\Program Files\Outlook Express
   [2008-11-17|19:39] C:\Program Files\ppcbooster
   [2008-11-17|19:35] C:\Program Files\QdrDrive
   [2008-07-08|18:51] C:\Program Files\Realtek
   [2008-07-08|18:01] C:\Program Files\Services en ligne
   [2008-11-17|20:52] C:\Program Files\SpeedTest
   [2008-11-18|21:44] C:\Program Files\Trend Micro
   [2008-07-08|18:08] C:\Program Files\Uninstall Information
   [2008-07-13|19:22] C:\Program Files\uTorrent
   [2008-11-17|19:39] C:\Program Files\VnrBlock
   [2008-11-17|19:35] C:\Program Files\VnrPack
   [2008-10-04|14:00] C:\Program Files\Windows Media Connect 2
   [2008-10-04|14:02] C:\Program Files\Windows Media Player
   [2008-07-08|17:58] C:\Program Files\Windows NT
   [2008-07-08|18:01] C:\Program Files\WindowsUpdate
   [2008-07-08|19:49] C:\Program Files\WinRAR
   [2008-07-08|18:03] C:\Program Files\xerox

   --------------------\  Listing des dossiers dans C:\Program Files\Fichiers communs

   [2008-07-30|20:16] C:\Program Files\Fichiers communs\Adobe
   [2008-07-08|19:33] C:\Program Files\Fichiers communs\Ahead
   [2008-07-08|19:45] C:\Program Files\Fichiers communs\DESIGNER
   [2008-07-08|19:02] C:\Program Files\Fichiers communs\Hewlett-Packard
   [2008-07-08|19:04] C:\Program Files\Fichiers communs\HP
   [2008-07-08|18:50] C:\Program Files\Fichiers communs\InstallShield
   [2008-07-08|19:58] C:\Program Files\Fichiers communs\Java
   [2008-07-08|19:52] C:\Program Files\Fichiers communs\Microsoft Shared
   [2008-07-08|18:00] C:\Program Files\Fichiers communs\MSSoap
   [2008-07-08|13:51] C:\Program Files\Fichiers communs\ODBC
   [2008-07-08|18:00] C:\Program Files\Fichiers communs\Services
   [2008-07-08|13:51] C:\Program Files\Fichiers communs\SpeechEngines
   [2008-07-09|23:48] C:\Program Files\Fichiers communs\System

   --------------------\  Process

   ( 46 Processes )

   ... OK !

   --------------------\  Recherche avec S_Lop

   Aucun fichier / dossier Lop trouvé !
 
   --------------------\  Recherche de Fichiers / Dossiers Lop

   Aucun fichier / dossier Lop trouvé ! 
 
   --------------------\  Verification du Registre
 
   ..... OK !

   --------------------\  Verification du fichier Hosts

   Fichier Hosts PROPRE


   --------------------\  Recherche de fichiers avec Catchme
 
 
   --------------------\  Recherche d'autres infections

   --------------------\  ROOTKIT !!

   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TDSSSERV.SYS]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TDSSserv.sys]
   Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]



   [F:3306][D:58]-> C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp
   [F:535][D:0]-> C:\DOCUME~1\MARIE-~1\Cookies
   [F:4430][D:12]-> C:\DOCUME~1\MARIE-~1\LOCALS~1\TEMPOR~1\content.IE5

   1 - "C:\Lop SD\LopR_1.txt" - 2008-11-19|14:07 - Option : [1]
   2 - "C:\Lop SD\LopR_2.txt" - 2008-11-19|14:28 - Option : [2]

   --------------------\  Fin du rapport a 14:28:32

Utilisateur anonyme · Answer

Hi,

Relance Combofix.

Alut.

lacoquine · Answer

impossible de le loader

Utilisateur anonyme · Answer

Hi,

Il manque un rapport non?

refait un hijackthis.

Alut.

lacoquine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:45, on 2008-11-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\windows\system32\rswnw64q.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\f4f.exe
C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe
C:\WINDOWS\System32\rs32net.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\VnrPack\VnrPack20.exe
C:\Program Files\VnrBlock\VnrBlock21.exe
C:\WINDOWS\System32\rs32net.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ocntssdl.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\csrssc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: C:\WINDOWS\system32\jsne87fidgf.dll - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{E5-5B-B6-67-DW}] C:\windows\system32\rswnw64q.exe DWrvgFF
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ocntssdl.exe DWrvgFF
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [G4G] C:\WINDOWS\f4f.exe
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [gliojrabwjxf] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ppftvtwkbiuvp.dll"
O4 - HKLM\..\Run: [zfdhsobcld] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [VnrPack20] "C:\Program Files\VnrPack\VnrPack20.exe"
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [VnrBlock21] "C:\Program Files\VnrBlock\VnrBlock21.exe"
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [12CFG94-z641-2SF-N31P-5M1ER6H6L1] C:\RECYCLER\S-1-5-21-8832355817-7733714454-459545168-8169\winigon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntssdl.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rswnw64q.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.cogeco.ca/fr/OLS3.3/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O22 - SharedTaskScheduler: mcb7uehuj3n8weuhejsw - {C5BF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\jsne87fidgf.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

Hi,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

• Appuie sur une touche pour commencer le processus de nettoyage.

• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.


• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.

Redémarre et essaie de relance SDFix.

Alut.

lacoquine · Answer

Ça m'envoie encore sur une page internet explorer qui ne peut pas s'afficher, impossible de loader!

Utilisateur anonyme · Answer

Hi,

installe sa

Supprime tout ce qu'il trouve.

Alut.

lacoquine · Answer

J'ai fait tout l'enregistrement mais quand j'arrive pour télécharger
ça me dit impossible d'établir une connexion avec le serveur

Utilisateur anonyme · Answer

Hi,

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

http://www.atribune.org/ccount/click.php?id=4


* Double-clique VundoFix.exe afin de le lancer.

* Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo

* Clique sur le bouton Scan for Vundo.

* Lorsque le scan est complété, clique sur le bouton Remove Vundo.

* Une invite te demandera si tu veux supprimer les fichiers, clique YES

* Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

* Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown" ); clique OK

* Démarre ton PC à nouveau.

* Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo". 

Alut.

lacoquine · Answer

Toujours le meme problème pas capable d'ouvrir le lien
message de page explorer qui ne veut pas s'Ouvrir

Utilisateur anonyme · Answer

Hi,

Même en mode sans échec avec prise en charge du réseau?

Sinon essai sa:

installe NAVILOG1


Remarque concernant la détection de Navilog1 par certains programmes de sécurités :

Certains fichiers de Navilog1.exe peuvent être considérés comme dangereux et donc supprimés ou neutralisés par certains programmes de sécurités. Ce sont des faux positifs et dans certains cas, vous serez amener à désactiver votre protection le temps du téléchargement/utilisation de Navilog1.
/ !\ Déconnecte toi du net et désactive ton antivirus et antispyware résident pour que Navilog1 puisse s'exécuter normalement. / !\

Utilisateurs de Windows Vista :

* Afin que Navilog1 puisse fonctionner correctement, il est recommandé de désactiver l'UAC pendant l'utilisation de Navilog1 (Installation, Utilisation). N'oubliez pas dès l'utilisation de Navilog1 terminé à réactiver l'UAC sur votre Ordinateur.
comment faire pour désactiver l'UAC

* A chaque fois que vous êtes amené à exécuter Navilog1.bat ou Navilog1.exe pour l'installation, ne double-cliquez pas sur le fichier ou raccourci mais faites un clic droit dessus et dans le menu contextuel choisssez "Exécuter en tant qu'administrateur".

Le lancement de l'installation de Navilog1 se fait en exécutant Navilog1.exe

(Si vous avez téléchargé navilog1.zip, Veuillez auparavant décompresser ce fichier)

Une fois l'installation terminé, pour lancer le fix :

- en utilisant le raccourci crée sur le bureau : Navilog1
- Via le poste de travail, en exécutant le fichier Navilog1.bat se trouvant dans %program files%Navilog1

Après le choix de la langue et les messages d'avertissement, le menu s'affiche.

Faite le choix 1

Effectue la vérification du système à la recherche de l'adware. Un scan avec catchme de GMER est également éffectué pour Windows XP. Cette analyse peut durer une dizaine de minutes. Patientez alors jusqu'au message «Analyse terminée le ....». Appuyez sur une touche comme demandé et le bloc note va souvrir , Enregistrez-le sur votre disque. Puis Ouvrez-le et Copiez-Collez l'intégralité de ce rapport sur le forum qui vous l'auras demandé.

(si le bloc-note ne s'ouvre pas : Rendez-vous dans votre poste de travail, à la racine du disque C vous trouverez le rapport sous le nom de fixnavi.txt)

Attention : Ne lancez-pas la partie désinfection (choix 2, 3 ou 4) sans l'avis/accord express de l'Helper qui vous as pris en charge sur le forum d'aide ou vous aurez exposer votre problème.

Alut.

lacoquine · Answer

j'ai fait le processus ci haut et l'accès m'est refusé

Utilisateur anonyme · Answer

Hi,

Télécharger VirtumundoBegone sur le bureau:


Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau .
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

lacoquine · Answer

J'ai bizounné un peu et j'ai réussit a installer navilog, voici le rapport

Search Navipromo version 3.6.9 commencé le 2008-11-19 à 16:20:27,71

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Administrateur" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : 

Recherche executé en mode sans échec

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\MARIE-~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\MARIE-~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Administrateur\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\MARIE-~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\MARIE-~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Administrateur\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\MARIE-~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 2008-11-19 à 16:31:33,00 ***

Utilisateur anonyme · Answer

Hi,

Passe combofix même en mode sans échec.

Alut.

lacoquine · Answer

Combofix ne veut toujours pas s'exécuter

Utilisateur anonyme · Answer

Hi,

-Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

- Mets le à jour

---
- Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
- Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
- clique sur Rechercher

- Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

- Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Fait le scan en mode sans échec mais fait la mise à jour.

lacoquine · Answer

Toujours le meme probleme explorer ne peut établir a connexion meme chose pour firefox je ne peux donc pas télécharger malwarebyte
s

lacoquine · Answer

Quand je recherche dans google et que je trouve malwarebytes.org ça me renvoie sur des pages qui n'ont pas de rapport, des publicités etc....

Utilisateur anonyme · Answer

Hi,

Installe [- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraudfix]



Option:1 => Recherche:

    * Double cliquer sur SmitfraudFix.exe
    
* Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

C:\rapport.txt

==>et colle le rapport génèrer sur le forum.

*=>Ne pas faire l'option 2 sans un avis d'une personne compétente*<=

Alut.

lacoquine · Answer

Ça m'envoie un rapport d'erreur aussi!!! Il télécharge mais c'est lors de l'exécution que ça bug

Utilisateur anonyme · Answer

Hi,

essai ceci et test les trois liens et dit quoi.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
SDFix (créé par AndyManchesta)

ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

ou ici http://sdfix.net/SDFix.exe

--> Double-cliques sur SDFix.exe et choisis "Install" . 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

 Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur

• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

• Appuie sur une touche pour commencer le processus de nettoyage.

• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

• Appuie sur une touche pour redémarrer le PC.

• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.


• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

•NOTE:Si SDFix ne se lance pas
Clique sur=> Démarrer => Exécuter
Copie/colle ceci :
%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

Clique sur Ok.

Redémarre et essaie de relance SDFix.

lacoquine · Answer

[b]SDFix: Version 1.240 [/b]
Run by Marie-Claude on 2008-11-19 at 18:56

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\MARIE-~1\Bureau\SDFix\SDFix

[b]Checking Services [/b]:

Rootkit Found :
C:\WINDOWS\system32\drivers\ATI6KRXX.sys - Rootkit Pandex/Cutwail - Protect.sys

[b]Name [/b]: 
ICF
restore
ATI6KRXX

[b]Path [/b]:
C:\WINDOWS\system32\svchost.exe:ext.exe 
\??\C:\WINDOWS\system32\driversestore.sys 
System32\Drivers\ati6krxx.sys 

ICF - Deleted
restore - Deleted
ATI6KRXX - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service ATI6KRXX - Deleted after Reboot

[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\RZRNCVFQ.dll - Deleted
C:\WINDOWS\system32\byyiflazkxbgq.exe - Deleted
C:\WINDOWS\system32\pxlziathojtpmetk.exe - Deleted
C:\WINDOWS\system32\jsne87fidgf.dll - Deleted
C:\-17365~1 - Deleted
C:\Program Files\iCheck\iCheck.exe - Deleted
C:\Program Files\iCheck\Uninstall.exe - Deleted
C:\Program Files\QdrDrive\QdrDrive20.dll - Deleted
C:\Program Files\QdrDrive\qdrloader.exe - Deleted
C:\Program Files\VnrBlock\VnrBlock21.exe - Deleted
C:\Program Files\VnrBlock\xtarga.gz - Deleted
C:\Program Files\VnrPack\dicts.gz - Deleted
C:\Program Files\VnrPack	rgts.gz - Deleted
C:\Program Files\VnrPack\VnrPack20.exe - Deleted
C:\WINDOWS\system32\{eeb5606f-fbf1-4635-e585-59b7636fd6f8}.dll-uninst.exe - Deleted
C:\WINDOWS\system32\winpfz33.sys - Deleted
C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\Csrssc.exe - Deleted
C:\WINDOWS\system32\dwwnw64r.exe - Deleted
C:\WINDOWS\system32\msnav32.ax - Deleted
C:\WINDOWS\system32s32net.exe - Deleted
C:\WINDOWS\system32\zxdnt3d.cfg - Deleted
C:\WINDOWS\Temp\csrssc.exe - Deleted
C:\WINDOWS\system32\TDSSlxcp.dll - Deleted
C:\WINDOWS\system32\TDSSmtvd.dat - Deleted
C:\WINDOWS\system32\TDSSkkai.log - Deleted
C:\WINDOWS\system32\drivers\ATI6KRXX.sys - Deleted


Could Not Remove C:\WINDOWS\system32\TDSSoiqt.dll
Could Not Remove C:\WINDOWS\system32\TDSSarxx.dll
Could Not Remove C:\WINDOWS\system32\TDSSvkql.dll
Could Not Remove C:\WINDOWS\system32\TDSScfmm.dll

Folder C:\Program Files\iCheck - Removed
Folder C:\Program Files\QdrDrive - Removed
Folder C:\Program Files\VnrBlock - Removed
Folder C:\Program Files\VnrPack - Removed


Removing Temp Files

[b]ADS Check [/b]:
 

C:\WINDOWS\system32\svchost.exe 
  : ADS Found! 
svchost.exe: deleted 25088 bytes in 1 streams.

Checking for remaining Streams

C:\WINDOWS\system32\svchost.exe
No streams found.
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-19 19:58:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Marie-Claude
tuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Disabled:eMule"
"C:\Documents and Settings\Marie-Claude\Local Settings\Temp\ImInstaller\HiYo_Installer.exe"="C:\Documents and Settings\Marie-Claude\Local Settings\Temp\ImInstaller\HiYo_Installer.exe:*:Enabled:IncrediMail Installer"
"C:\Program Files\FlightGear\bin\win32\fgfs.exe"="C:\Program Files\FlightGear\bin\win32\fgfs.exe:*:Disabled:fgfs"
"C:\Program Files\DogfightRC\DogfightRC.exe"="C:\Program Files\DogfightRC\DogfightRC.exe:*:Disabled:DogfightRC"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[b]Remaining Files [/b]:

C:\WINDOWS\system32\TDSSoiqt.dll Found
C:\WINDOWS\system32\TDSSarxx.dll Found
C:\WINDOWS\system32\TDSSvkql.dll Found
C:\WINDOWS\system32\TDSScfmm.dll Found

File Backups: - C:\DOCUME~1\MARIE-~1\Bureau\SDFix\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 17 Nov 2008        72,704 ..SHR --- "C:\RECYCLER\S-1-5-21-8832355817-7733714454-459545168-8169\winigon.exe"
Sun 27 Jul 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 19 Nov 2008        22,017 ...H. --- "C:\Documents and Settings\Administrateur\Local Settings\Temp\csrssc.exe"
Sat  4 Oct 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]

Je fais le hijackthis et je te le poste

lacoquine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:06, on 2008-11-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ocntssdl.exe
c:\windows\system32\dwwnw64r.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: agadoo browser enhancer - {41764486-AFF5-328F-C349-80593F3BEF63} - C:\WINDOWS\system32\ppftvtwkbiuvp.dll
O2 - BHO: globaladsolution browser enhancer - {60A34557-A1B8-4632-939E-BDBCDB346384} - C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{E5-5B-B6-67-DW}] c:\windows\system32\dwwnw64r.exe DWrvgFF
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [gliojrabwjxf] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ppftvtwkbiuvp.dll"
O4 - HKLM\..\Run: [zfdhsobcld] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [12CFG94-z641-2SF-N31P-5M1ER6H6L1] C:\RECYCLER\S-1-5-21-8832355817-7733714454-459545168-8169\winigon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ocntssdl.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\dwwnw64r.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.cogeco.ca/fr/OLS3.3/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

lacoquine · Answer

J'ai enfin réussit¸a installer l'antivirus antivir, est ce que j'enleve tous les programmes downloadés? Je vais installer spybot, ainsi que malwarebytes et Ccleaner.

Utilisateur anonyme · Answer

Hi,

attend deux minutes.

Alut.

Utilisateur anonyme · Answer

Hi,

passe combofix.==>ensuite tu feras un scan avec malwarebyte.

Alut.

lacoquine · Answer

Flute j'avais déjà démarré malwarebytes en mode sans échec....je te poste le rapport demain si tu veux, je referai avec combofix avant. Merci pour tous tes efforts, je vais aller profiter du reste de soirée avec mon amoureux bonne soirée à toi :)

Utilisateur anonyme · Answer

Hi,

ok.

A demain et bonne amourette.

Alut.

lacoquine · Answer

Allo, bon matin, je suis toujours incapable de télécharger combofix. Voici le rapport malwarebytes:
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1412
Windows 5.1.2600 Service Pack 2

2008-11-20 00:52:11
mbam-log-2008-11-20 (00-52-04).txt

Type de recherche: Examen complet (C:\|F:\|G:\|)
Eléments examinés: 101569
Temps écoulé: 2 hour(s), 5 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 21
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\drflex.band (Adware.DrFlex) -> No action taken.
HKEY_CLASSES_ROOT\drflex.band.1 (Adware.DrFlex) -> No action taken.
HKEY_CLASSES_ROOT\drflex.bho (Adware.DrFlex) -> No action taken.
HKEY_CLASSES_ROOT\drflex.bho.1 (Adware.DrFlex) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{180175c0-913e-451c-9419-2d5500368d43} (Adware.DrFlex) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8eeb2711-9d21-4f9c-99a1-b7fc5a8ca56a} (Adware.DrFlex) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b200799f-9538-403d-9a6e-36f5942ec540} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c5bf49a2-94f3-42bd-f434-3604812c897d} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b68-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9a9c9b69-f908-4aab-8d0c-10ea8997f37e} (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8eeb2711-9d21-4f9c-99a1-b7fc5a8ca56a} (Adware.DrFlex) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{180175c0-913e-451c-9419-2d5500368d43} (Adware.DrFlex) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{f9dab61a-9760-8450-004c-d08cd42480c6} (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\banneradsgalore (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cont_globaladsolution (Adware.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Deewoo Network Manager (Adware.Radio) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{41764486-aff5-328f-c349-80593f3bef63} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{41764486-aff5-328f-c349-80593f3bef63} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{60a34557-a1b8-4632-939e-bdbcdb346384} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{60a34557-a1b8-4632-939e-bdbcdb346384} (Adware.BHO) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg94-z641-2sf-n31p-5m1er6h6l1 (Backdoor.Bot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runs32net (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gliojrabwjxf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zfdhsobcld (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{e5-5b-b6-67-dw} (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\RECYCLER\S-1-5-21-8832355817-7733714454-459545168-8169\winigon.exe (Backdoor.Bot) -> No action taken.
C:\jwwgtuh.exe (Trojan.Dropper) -> No action taken.
C:\ltljrg.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\118290844.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\1900979798.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\Administrateur\Local Settings\Temp\csrssc.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS
ohh06760.exe (Adware.BHO) -> No action taken.
C:\WINDOWS\system32\fdlame32.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\fklame32.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\pfpmtdghda.dll-uninst.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\ppftvtwkbiuvp.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\84.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\cont_globaladsolution-remove.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\gside.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Mozilla Firefox\components
sglobaladsolution.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\zxdnt3d.cfg. (Adware.ZenoSearch) -> No action taken.
C:\WINDOWS\system32\msnav32.ax (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> No action taken.

lacoquine · Answer

La connexion a échoué

      

      
      
      

      
        
        

          

Firefox ne peut établir de connexion avec le serveur à l'adresse download.bleepingcomputer.com.

        


        
        VOIci le message que ça m'envoie quand je tente de loader ComboFix :

Bien que le site semble valide, le navigateur n'a pas pu établir de connexion.

    *  Le site est peut-être temporairement indisponible ? Réessayez plus tard.
    * D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur.
    * Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.
    * Vous avez toujours des problèmes ? Consultez votre administrateur réseau ou votre fournisseur d'accès à Internet pour obtenir de l'aide.

gen-hackman · Answer

salut....pour avancer......

est il possible d'avoir le rapport sorti apres suppression de malwarebytes ?

lacoquine · Answer

Je n'arrive pas <a trouver le rapport...attends, je cherche

lacoquine · Answer

Ce matin, je n'arrive plus ¸a ouvrir malwarebytes !!!

gen-hackman · Answer

https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

gen-hackman · Answer

vois si tu arrivesz maintenant avec Combofix......sinon.......attends d'autres directives....merci

lacoquine · Answer

L'installation jam...j'ai donc décidé d'enlever le malwarebytes présent, et la désinstallation bug aussi...je commence a ^^etre écouragée un peu....

lacoquine · Answer

combo fix ne veut toujours pas loader, je ne touche plus a rien j'attends Merci :)

Utilisateur anonyme · Answer

Hi,

===>>>No action taken.

Tu n'as pas supprimer la quarantaine de malwarebyte.

Supprime la.=>comment,

=>onglet quarantaine =>coche toutes les lignes montrant l'infection=>et clique sur tout supprimer

Ensuite voit si tu peut passer combofix.

Alut.

lacoquine · Answer

Comme je te disais le programme Malwarebytes ne veut plus ouvrir du tout

Utilisateur anonyme · Answer

Hi,

Poste 62.

Alut.

Utilisateur anonyme · Answer

Hi,

même en mode sans échec.

Alut.

lacoquine · Answer

Meme en mode sans echec ça bug

Utilisateur anonyme · Answer

Hi,

Essai ces deux liens:Surtout rennome les:

fais un clic droit sur le fichier combofix.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\combofix
Décompresser combofixdans ce dossier.
C'est important pour les sauvegardes."

http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

https://forospyware.com

Sinon passe ce fix:

Télécharge  sur ton bureau MSNFix

    * Enregistrez le fichier sur votre bureau.
    * Ne pas double-cliquer sur le fichier
    * Faites un clic droit sur le fichier puis Extraire tout, le but étant de récupérer un dossier MSNFix 

    *  Double-cliquez sur le dossier MSNFix afin de l'ouvrir
    * Vous trouverez dedans un nouveau dossier ainsi qu'un fichier MSNFix.bat (le .bat peut ne pas apparaître chez vous).
    * Double-cliquez sur MSNFix.bat

Alut.

gen-hackman · Answer

essaie en :

allant sur le lien , clicdroit , proprietes et tu copies/colles l'aresse dans la barre d'adresses d'une page mozilla firefox

gen-hackman · Answer

oui je sais.....je suis long.......lol

lacoquine · Answer

Écoute tu es assez gentil de m'aider que jamais je ne chialerai si tu es un peu long (ce qui n'est pas le cas en passant!) Msn fix semble fonctionner, j'ai lancé la recherche j'attends :)

lacoquine · Answer

Ca me dit infection présente ...je lance le nettoyage?

gen-hackman · Answer

Fais !

lacoquine · Answer

Ça me dit le systeme ne peut trouver le fichier incl\msnRK.txt.

lacoquine · Answer

Je viens de faire un scan avec antivir voici le résultat: Avira AntiVir Personal Report file date: 20 novembre 2008 10:29 Scanning for 1042450 virus strains and unwanted programs. Licensed to: Avira AntiVir PersonalEdition Classic Serial number: 0000149996-ADJIE-0001 Platform: Windows XP Windows version: (Service Pack 2) [5.1.2600] Boot mode: Normally booted Username: SYSTEM Computer name: SHAWINIG-C797DA Version information: BUILD.DAT : 8.2.0.336 16933 Bytes 2008-10-30 11:40:00 AVSCAN.EXE : 8.1.4.7 315649 Bytes 2008-06-26 15:57:53 AVSCAN.DLL : 8.1.4.0 40705 Bytes 2008-05-26 14:56:40 LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 19:44:19 LUKERES.DLL : 8.1.4.0 12033 Bytes 2008-05-26 14:58:52 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 2008-10-27 01:04:51 ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 2008-11-09 01:04:54 ANTIVIR2.VDF : 7.1.0.89 221184 Bytes 2008-11-16 01:04:55 ANTIVIR3.VDF : 7.1.0.110 109568 Bytes 2008-11-19 01:04:56 Engineversion : 8.2.0.34 AEVDF.DLL : 8.1.0.6 102772 Bytes 2008-10-14 17:05:56 AESCRIPT.DLL : 8.1.1.15 332156 Bytes 2008-11-20 01:05:09 AESCN.DLL : 8.1.1.5 123251 Bytes 2008-11-20 01:05:08 AERDL.DLL : 8.1.1.3 438645 Bytes 2008-11-20 01:05:07 AEPACK.DLL : 8.1.3.4 393591 Bytes 2008-11-20 01:05:05 AEOFFICE.DLL : 8.1.0.30 196986 Bytes 2008-11-20 01:05:04 AEHEUR.DLL : 8.1.0.71 1487222 Bytes 2008-11-20 01:05:03 AEHELP.DLL : 8.1.2.0 119159 Bytes 2008-11-20 01:05:00 AEGEN.DLL : 8.1.1.4 319861 Bytes 2008-11-20 01:04:59 AEEMU.DLL : 8.1.0.9 393588 Bytes 2008-10-14 17:05:56 AECORE.DLL : 8.1.5.0 172407 Bytes 2008-11-20 01:04:58 AEBB.DLL : 8.1.0.3 53618 Bytes 2008-10-14 17:05:56 AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 15:40:05 AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 16:28:01 AVREP.DLL : 8.0.0.2 98344 Bytes 2008-11-20 01:04:57 AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 18:26:40 AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 15:29:23 AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 19:27:49 SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-23 00:28:02 SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 19:49:40 NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 19:05:10 RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 20:48:07 RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 20:34:37 Configuration settings for the scan: Jobname..........................: Complete system scan Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp Logging..........................: low Primary action...................: interactive Secondary action.................: ignore Scan master boot sector..........: on Scan boot sector.................: on Boot sectors.....................: C:, F:, G:, Process scan.....................: on Scan registry....................: on Search for rootkits..............: off Scan all files...................: Intelligent file selection Scan archives....................: on Recursion depth..................: 20 Smart extensions.................: on Macro heuristic..................: on File heuristic...................: medium Start of the scan: 20 novembre 2008 10:29 The scan of running processes will be started Scan process 'avscan.exe' - '1' Module(s) have been scanned Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned Scan process 'alg.exe' - '1' Module(s) have been scanned Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned Scan process 'NMIndexingService.exe' - '1' Module(s) have been scanned Scan process 'avcenter.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned Scan process 'GoogleUpdaterService.exe' - '1' Module(s) have been scanned Scan process 'avguard.exe' - '1' Module(s) have been scanned Scan process 'TeaTimer.exe' - '1' Module(s) have been scanned Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned Scan process 'ctfmon.exe' - '1' Module(s) have been scanned Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned Scan process 'avgnt.exe' - '1' Module(s) have been scanned Scan process 'iesvcmon.exe' - '1' Module(s) have been scanned Scan process 'reader_sl.exe' - '1' Module(s) have been scanned Scan process 'jusched.exe' - '1' Module(s) have been scanned Scan process 'RTHDCPL.exe' - '1' Module(s) have been scanned Scan process 'sched.exe' - '1' Module(s) have been scanned Scan process 'spoolsv.exe' - '1' Module(s) have been scanned Scan process 'explorer.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'svchost.exe' - '1' Module(s) have been scanned Scan process 'ati2evxx.exe' - '1' Module(s) have been scanned Scan process 'lsass.exe' - '1' Module(s) have been scanned Scan process 'services.exe' - '1' Module(s) have been scanned Scan process 'winlogon.exe' - '1' Module(s) have been scanned Scan process 'csrss.exe' - '1' Module(s) have been scanned Scan process 'smss.exe' - '1' Module(s) have been scanned 34 processes with 34 modules were scanned Starting master boot sector scan: Master boot sector HD0 [INFO] No virus was found! Start scanning boot sectors: Boot sector 'C:\' [INFO] No virus was found! Boot sector 'F:\' [INFO] No virus was found! Boot sector 'G:\' [INFO] No virus was found! Starting to scan the registry. The registry was scanned ( '53' files ). Starting the file scan: Begin scan in 'C:\' C:\pagefile.sys [WARNING] The file could not be opened! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3LANW1MB\cd[1].htm [0] Archive type: HIDDEN --> FIL\\?\C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\3LANW1MB\cd[1].htm [DETECTION] Is the TR/Dldr.Suurch.GS Trojan [NOTE] The file was moved to '498082b9.qua'! C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XMEFYEIY w32[1].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '495882d5.qua'! C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XMEFYEIY w32[2].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '495882d9.qua'! C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XMEFYEIY w32[3].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '495882dd.qua'! C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\XMEFYEIY w32[4].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '495882e1.qua'! C:\Documents and Settings\Marie-Claude\Bureau\SmitfraudFix.exe [DETECTION] Contains recognition pattern of the DR/Tool.Reboot.F.19 dropper [NOTE] The file was moved to '498e82f3.qua'! C:\Documents and Settings\Marie-Claude\Bureau\SDFix\SDFix\backups\backups.zip [0] Archive type: ZIP --> backups/ati6krxx.sys [DETECTION] Contains recognition pattern of the RKIT/Protector.BC root kit --> backups/byyiflazkxbgq.exe [DETECTION] Contains recognition pattern of the DR/Zlob.Gen dropper --> backups/csrssc.exe [DETECTION] Is the TR/Dldr.Suurch.GS Trojan --> backups/dwwnw64r.exe [DETECTION] Is the TR/Spy.Zeno.FI Trojan --> backups/jsne87fidgf.dll [DETECTION] Is the TR/Fakealert.HO Trojan --> backups/pxlziathojtpmetk.exe [DETECTION] Contains recognition pattern of the DR/Zlob.Gen dropper --> backups/QdrDrive20.dll [DETECTION] Is the TR/Click.Agent.can Trojan --> backups/rs32net.exe [DETECTION] Is the TR/Dropper.Gen Trojan --> backups/rzrncvfq.dll [DETECTION] Is the TR/Fakealert.abz.6 Trojan --> backups/VnrBlock21.exe [DETECTION] Is the TR/Dldr.Agent.ante Trojan --> backups/VnrPack20.exe [DETECTION] Is the TR/Dldr.Agen.vn.343 Trojan [NOTE] The file was moved to '498882f6.qua'! C:\Documents and Settings\Marie-Claude\Bureau\SDFix\SDFix\backups\catchme.zip [0] Archive type: ZIP --> ATI6KRXX.sys [DETECTION] Contains recognition pattern of the RKIT/Protector.BC root kit --> TDSSoiqt.dll [DETECTION] Contains a recognition pattern of the (harmful) BDS/TDSS.JW back-door program --> TDSSarxx.dll [DETECTION] Contains a recognition pattern of the (harmful) BDS/TDSS.adb back-door program --> TDSSvkql.dll [DETECTION] Contains a recognition pattern of the (harmful) BDS/TDSS.acs back-door program --> TDSScfmm.dll [DETECTION] Is the TR/Agent.73728.7 Trojan --> dwwnw64r.exe [DETECTION] Is the TR/Spy.Zeno.FI Trojan [NOTE] The file was moved to '499982fb.qua'! C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\4ARGPPLS w32[1].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '49588354.qua'! C:\Program Files\ppcbooster\ppcb_32.exe [DETECTION] Is the TR/Dldr.LwAge.24576 Trojan [NOTE] The file was moved to '4988860f.qua'! C:\WINDOWS\c20232.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '4955868b.qua'! C:\WINDOWS\DWrvg.exe [0] Archive type: NSIS --> ProgramFilesDir/QdrDrive20.dll [DETECTION] Is the TR/Click.Agent.can Trojan --> ProgramFilesDir/VnrPack20.exe [DETECTION] Is the TR/Dldr.Agen.vn.343 Trojan --> ProgramFilesDir/bs17.exe [DETECTION] Contains recognition pattern of the DR/Click.Agent.bip dropper [DETECTION] Contains recognition pattern of the DR/Agent.hgt dropper [NOTE] The file was moved to '499786b4.qua'! C:\WINDOWS\f4f.exe [DETECTION] Is the TR/Agent.M.778 Trojan [NOTE] The file was moved to '498b8696.qua'! C:\WINDOWS\feoc827.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '499486ca.qua'! C:\WINDOWS\gbg033414.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '498c86cb.qua'! C:\WINDOWS\gncyq5.exe [0] Archive type: NSIS --> ProgramFilesDir/f4f.exe [DETECTION] Is the TR/Agent.M.778 Trojan [DETECTION] Contains recognition pattern of the DR/BHO.dwj dropper [NOTE] The file was moved to '498886dc.qua'! C:\WINDOWS\hw5305.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '495a86e8.qua'! C:\WINDOWS\o255.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '495a86a8.qua'! C:\WINDOWS\pn8.exe [0] Archive type: NSIS --> ProgramFilesDir/VnrBlock21.exe [DETECTION] Is the TR/Dldr.Agent.ante Trojan [DETECTION] Contains recognition pattern of the DR/Peed.579 dropper [NOTE] The file was moved to '495d86e8.qua'! C:\WINDOWS\vtj708346.exe [0] Archive type: NSIS --> ProgramFilesDir/ppcb_32.exe [DETECTION] Is the TR/Dldr.LwAge.24576 Trojan [DETECTION] Contains recognition pattern of the DR/Dldr.Agent.aopb dropper [NOTE] The file was moved to '498f86f6.qua'! C:\WINDOWS\wuan364443.exe [DETECTION] Is the TR/Dldr.VB.iqv Trojan [NOTE] The file was moved to '49868708.qua'! C:\WINDOWS\system32\cmdl.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '4989885c.qua'! C:\WINDOWS\system32\g25.exe [DETECTION] Contains recognition pattern of the DR/Click.Agent.bty dropper [NOTE] The file was moved to '495a8830.qua'! C:\WINDOWS\system32\ocntssdl.exe [DETECTION] Is the TR/Agent.tzh Trojan [NOTE] The file was moved to '4993887f.qua'! C:\WINDOWS\system32\pfpmtdghda.dll [DETECTION] Is the TR/BHO.czp Trojan [NOTE] The file was moved to '49958888.qua'! C:\WINDOWS\system32 swnw64q.exe [DETECTION] Is the TR/Spy.Zeno.FI Trojan [NOTE] The file was moved to '499c889f.qua'! C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\89Q701EZ\cd[1].htm [0] Archive type: HIDDEN --> FIL\\?\C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\89Q701EZ\cd[1].htm [DETECTION] Is the TR/Dldr.Suurch.GS Trojan [NOTE] The file was moved to '498088ad.qua'! C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\89Q701EZ\cmdl[1].exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan [NOTE] The file was moved to '498988bb.qua'! C:\WINDOWS\system32\drivers\sptd.sys [WARNING] The file could not be opened! Begin scan in 'F:\' Begin scan in 'G:\' End of the scan: 20 novembre 2008 10:56 Used time: 27:07 Minute(s) The scan has been done completely. 4836 Scanning directories 192798 Files were scanned 49 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 28 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 192747 Files not concerned 1921 Archives were scanned 2 Warnings 28 Notes

gen-hackman · Answer

ok redemarrese et tente combofix maintenant.......

lacoquine · Answer

combofix ne veut toujours pas loader

gen-hackman · Answer

grrrrr!!!!!!!!

lacoquine · Answer

bon je pense que je vais prendre un break
                                                                on recommence plus tard d'acc?

gen-hackman · Answer

comme tu veux.......le tout est que tu repartes satisfaite

Utilisateur anonyme · Answer

Hi,

Bon passe ceci:

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Alut.

lacoquine · Answer

Voila le rapport -------------- UsbFix V2.410 --------------- * User : Marie-Claude - SHAWINIG-C797DA * Outils mis a jours le 20/11/2008 par Chiquitine29 et Chimay8 * Recherche effectuée à 15:28:42 le 2008-11-20 * Windows Xp - Internet Explorer 7.0.5730.13 --------------- [ Processus actifs ] ---------------- C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\1.tmp\b2e.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe C:\WINDOWS\system32\iesvcmon.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\alg.exe --------------- [ Informations lecteurs ] ---------------- C: - Lecteur fixe D: - Lecteur de CD-ROM F: - Lecteur fixe G: - Lecteur fixe --------------- [ Lecteur C ] ---------------- C: - Lecteur fixe +- Listing des fichiers présents : [2008-07-08 18:03][--a------] C:\AUTOEXEC.BAT [2004-08-03 15:38][-rahs----] C:\NTDETECT.COM [2008-07-08 19:14][---hs----] C:\boot.ini [2008-11-20 14:32][--a------] C:\fixnavi.txt [2008-11-20 14:32][--a------] C:\lopR.txt [2008-11-20 14:32][--a------] C:\TB.txt [2008-11-20 14:32][--a------] C:\UsbFix.txt [2008-07-08 18:03][--a------] C:\CONFIG.SYS [2008-07-08 18:03][--a------] C:\IO.SYS [2008-07-08 18:03][--a------] C:\MSDOS.SYS [2008-07-08 18:03][--a------] C:\pagefile.sys --------------- [ Lecteur D ] ---------------- D: - Lecteur de CD-ROM +- Listing des fichiers présents : --------------- [ Lecteur F ] ---------------- F: - Lecteur fixe +- Listing des fichiers présents : --------------- [ Lecteur G ] ---------------- G: - Lecteur fixe +- Listing des fichiers présents : --------------- [ Registre / Startup ] ---------------- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run] BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe MsnMsgr="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run] RTHDCPL=RTHDCPL.EXE Alcmtr=ALCMTR.EXE NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" iesvcmon="C:\WINDOWS\system32\iesvcmon.exe" avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents= = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL= Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI= NoChange=1 Installed=1 = HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS= Installed=1 = --------------- [ Registre / Mountpoint2 ] ---------------- Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{13b059e6-4d4f-11dd-b47d-001921c84f11}\Shell\AutoRun\command --------------- [ Nettoyage des disques ] ---------------- --------------- [ Resumé ] ---------------- -> /!\ Le resultat doit etre interprété par un spécialiste /!\ [2008-07-08 18:03][--a------] C:\AUTOEXEC.BAT [2004-08-03 15:38][-rahs----] C:\NTDETECT.COM [2008-07-08 19:14][---hs----] C:\boot.ini --------------- ! Fin du rapport ! ----------------

Utilisateur anonyme · Answer

Hi,

Peut tu refaire un hijackthis.

Alut.

lacoquine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:32:34, on 2008-11-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.cogeco.ca/fr/OLS3.3/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Utilisateur anonyme · Answer

Hi,

Rend toi sur ce site 

C:\WINDOWS\system32\iesvcmon.exe 

Clic sur "parcourir" et ensuite recherche le texte en gras et poste le rapport qui en résult.

Alut.

lacoquine · Answer

Quand je clic sur le lien bleu, ça ne fonctionne pas, encore un message d'erreur de chargement de page

Utilisateur anonyme · Answer

Hi,

Regarde le poste =>84.

Alut.

lacoquine · Answer

désolée j'avais vu un message mais c'était pas pour moi....

gen-hackman · Answer

Bonjour, 
Un ou plusieurs virus me bloque sur Firefox et surtout m'empêche de lancer certaines application comme malwarebytes. 

vois si tu as toujours ces problemes stp

lacoquine · Answer

Ok donc c'était bien pour moi ce message...bon j'ai essayé mais le lien me renvoie vers erreur de chargement de la page...

lacoquine · Answer

Toujours impossible d'ouvrir malwarebytes et spybots search

Utilisateur anonyme · Answer

Hi,

Passe ceci.

Installe [- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraudfix]



Option:1 => Recherche:

    * Double cliquer sur SmitfraudFix.exe
    
* Sélectionner 1 et pressez =>Entrée dans le menu pour créer 

un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque 

système 

C:\rapport.txt

==>et colle le rapport génèrer sur le forum.

*=>Ne pas faire l'option 2 sans un avis d'une personne compétente*<=

Alut.

lacoquine · Answer

SmitfraudFix.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

quand je veux loader smitfraud voici ce que ça me donne

Utilisateur anonyme · Answer

Hi,

&#9654; Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
&#9654; tout en bas de cette page tu trouveras un outil
à télécharger,clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
&#9654; installe ce fichier sur le Bureau.
&#9654; ensuite double-clic sur Elibagla.exe
&#9654; laisse la case "eliminar ficheros automaticamente" coché
&#9654; clique sur"explorar"
&#9654; laisse-le travailler

&#9654; Redémarre en mode sans échec,

*Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).

&#9654; relance 2 fois elibagla

&#9654; redémarre en mode normal

&#9654; poste le rapport final qui sera dans c:\infosat.txt

lacoquine · Answer

veux tu essayer de prendre le contrôle via msn?

Utilisateur anonyme · Answer

Hi,$

NON.

passe ellibagla.

Alut.

lacoquine · Answer

Thu Nov 20 15:51:54 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Nov 20 15:52:54 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4450
Nº Total de Ficheros:      55409
Nº de Ficheros Analizados: 11920
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Nov 20 16:03:42 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3897
Nº Total de Ficheros:      40373
Nº de Ficheros Analizados: 5241
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Thu Nov 20 16:07:02 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Nov 20 16:07:05 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4449
Nº Total de Ficheros:      55406
Nº de Ficheros Analizados: 11920
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Nov 20 17:35:18 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   4449
Nº Total de Ficheros:      55406
Nº de Ficheros Analizados: 11920
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Nov 20 18:55:33 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Acción Directa):

	  Thu Nov 20 18:55:34 2008
EliBagle v11.98  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 20 de Noviembre del 2008)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Utilisateur anonyme · Answer

Hi,

peut tu me refaire un hijackthis.

Alut.

gen-hackman · Answer

j ai du mal, la.......

Utilisateur anonyme · Answer

Hi,

il a un problème et j'arrive pas à comprendre.

Alut.

gen-hackman · Answer

moi aussi

gen-hackman · Answer

j' ai pas le canned...mais en mettant ceci dans otmoveit3 ? :


C:\WINDOWS\system32\TDSSoiqt.dll 
C:\WINDOWS\system32\TDSSarxx.dll 
C:\WINDOWS\system32\TDSSvkql.dll 
C:\WINDOWS\system32\TDSScfmm.dll 
C:\WINDOWS\system32\ppftvtwkbiuvp.dll 
C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp\winlogin.exe 
c:\windows\system32\dwwnw64r.exe
C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll
C:\WINDOWS\system32\ocntssdl.exe

Utilisateur anonyme · Answer

Hi,

Très bien ....

Mais attendont le hijackthis et voir les améliorations.

Alut.

lacoquine · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:41, on 2008-11-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://www.cogeco.ca/fr/OLS3.3/fscax.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

lacoquine · Answer

Que dois je faire maintenant??

gen-hackman · Answer

peux tu te rendre sur :


https://www.virustotal.com/gui/

fais toi parcourrir a la recherche de ce fichier et fais le analyser stp :

 
C:\WINDOWS\system32\iesvcmon.exe

lacoquine · Answer

impossible d,ouvrir le lien encore erreur de chargement de la page

lacoquine · Answer

si je passe par google, ça m'amène sur des sites publicitaires

lacoquine · Answer

http://premium.ansearch.com/search?&search=virustotal&src=7se&c=2

j'ai réussit a aller sur ce site....mais je n'ai pas fait le scan, ça me semble louche...

lacoquine · Answer

J'ai réussit ¸a faire fonctionner smitfraud voici le rapport:

SmitFraudFix v2.376

Rapport fait à 11:16:40,53, 2008-11-21
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est 
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\iesvcmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Claude


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIE-~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marie-Claude\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIE-~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 205.151.69.200
DNS Server Search Order: 205.151.68.200

HKLM\SYSTEM\CCS\Services\Tcpip\..\{58204FBC-C720-47D1-87B7-21FF3D2F6498}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\..\{58204FBC-C720-47D1-87B7-21FF3D2F6498}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS2\Services\Tcpip\..\{58204FBC-C720-47D1-87B7-21FF3D2F6498}: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=205.151.69.200 205.151.68.200


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

gen-hackman · Answer

si je passe par google, ça m'amène sur des sites publicitaires......sur mozilla aussi ?

lacoquine · Answer

oui

gen-hackman · Answer

as tu winRAR ?(car auquel cas je m en suis servi pour neutraliser une infection dans mon systeme32)

lacoquine · Answer

oui mais comment le faire foncitonner?l

gen-hackman · Answer

bien......trouve le dossier en question :

C:\WINDOWS\system32\iesvcmon.exe

compresse le et supprime le apres................

redemarre et reesaie tes applications sur internet explorer qui ne marchaient pas ainsi que sur mozzilla :


impossible d,ouvrir le lien encore erreur de chargement de la page
si je passe par google, ça m'amène sur des sites publicitaires


si ca ne change rien :


redecompresses et supprimes l archive cree au prealable

lacoquine · Answer

Ça ne fonctionne pas...

gen-hackman · Answer

donc redecompresses et supprimes l'archive


iesvcmon.exe 

 essaie de tuer ce processus par le gestionnaire des taches .....ensuites réessaies et donnes des indications sur exactement ce qui se passe(mess...d'erreurs ,........;;bugs................; 

au cas ou .................; si probleme tu redemarres et tout rentre dans l'ordre........

lacoquine · Answer

Bon rien n'est réglé, les programmes que j'essaie de lancer ne fonctionnent pas tels : malwarebytes, spybot search, etc... et des que j'essaie d'aller sur un lien que vous me postez tel combofix ou autre, ça m'envoie sur d'autres site de publicité ou de faux anti-virus.  Admettons que je fais la recherche dans google pour facebook, le bon lien va apparaitre mais si je clique dessus, ça m'amène complètement ailleurs, cependant si j'écris www.facebook.com dans la barre ça marche, mais pas pour les autres trucs comme combofix, etc....Dites moi quoi faire rendu a ce point, dois je reformater ou  lancer la tour par la fenêtre? ;) Merci

gen-hackman · Answer

www.virustotal.com/fr/

ecris ceci dans la barre d adresse

lacoquine · Answer

Ça me dit la connexion a échoué

lacoquine · Answer

http://protection-livescan.com/2009/1/fr/_freescan.php?nu=77075202

en cherchant virus total cette page s'est ouverte et un scan a commencé, ça dit détecter des virus etc et on me demande d'insataller A9instaler_77075202.exe dois-je le faire???

lacoquine · Answer

J'ai réussit a lire sur ce programme avec mon autre ordi, je n'ai pas téléchargé, c'est un virus de merd...j'attends tes instructions, merci

gen-hackman · Answer

un tres bo conseil :

sors de la et fermes toutes les fenetres qui s'y rapportent c est un lien pour telecharger Anivirus 2009 

ca vaut pas un clou

lacoquine · Answer

C'est fait ;) voici le navilog que je viens de faire

earch Navipromo version 3.6.9 commencé le 2008-11-22 à 11:43:06,96

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "poulette" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : 

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\poulette\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\poulette\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\poulette\menudm~1\progra~1" *** 


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\poulette\locals~1\applic~1" * 

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\poulette\locals~1\applic~1" : 


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 2008-11-22 à 11:54:10,51 ***

gen-hackman · Answer

demarrer / executer 

puis ceci :

inetcpl.cpl

que s'affiche-t-il ?

lacoquine · Answer

ça ouvre les propriétés internet

gen-hackman · Answer

correction du post 122 :

Anivirus 2009 etait en fait Antivirus 2009.............lol


moi y'"a ca que j'ai pas compris......:

O4 - HKLM\..\Run: [gliojrabwjxf] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ppftvtwkbiuvp.dll" 
O4 - HKLM\..\Run: [zfdhsobcld] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\szehrbsvdlbvhgolp.dll"

lacoquine · Answer

Que dois je tenter de faire?

rikardokaka · Answer

3la slama

gen-hackman · Answer

veux-tu passer ceci :


Telecharge maintenant FindyKill sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

--> Lance l installation avec les parametres par default 

--> Fais un clic droit sur le raccourci FindyKill sur ton bureau 

--> Choisi executer en tant qu administrateur 

--> Au menu principal,choisi l option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

lacoquine · Answer

Finalement on a reformatté, merci beaucoup d'avoir essayé.  Ma copine avait trop hâte de retrouver son ordi. Merci

gen-hackman · Answer

bien..........content d avoir essaye de vous apporter quelque chose et au plaisir