Freeze au bureau Résolu

Question

Bonjour,
mon pc freeze tout  de suite après le boot, c'est assez embettant, j'utilise le mode sans échec avec prise en charge résaux pour vous communiquer ces informations.

Donc tout à commencé après un scan avec malwarebytes, qui fut très fructueux si l'on puis dire:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 6.0.6001 Service Pack 1

25/11/2008 16:46:23
mbam-log-2008-11-25 (16-46-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 187118
Temps écoulé: 2 hour(s), 30 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{7c109800-a5d5-438f-9640-18d17e168b88} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\multimediaControls.chl (Trojan.Zlob) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{237acb3a-dee5-4c28-a16e-69b27f27bb52}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{237acb3a-dee5-4c28-a16e-69b27f27bb52}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c7b09b52-73c3-4918-89b6-23a65fe6b94a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{237acb3a-dee5-4c28-a16e-69b27f27bb52}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{237acb3a-dee5-4c28-a16e-69b27f27bb52}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c7b09b52-73c3-4918-89b6-23a65fe6b94a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.120;85.255.112.170 -> Delete on reboot.

Dossier(s) infecté(s):
C:esycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Windows\System32\892267 (Trojan.BHO) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\System32\mpxa.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:esycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Users\Dilaw\Favorites\Online Security Test.url (Rogue.Link) -> Quarantined and deleted successfully.

Après le reboot pour terminer la désinfection, impossible de reprendre le controle du pc.

Voila un log hijack si ca inspire quelqu'un...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:25, on 25/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Dilaw\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-notebook.msn.com&ocid=HPDHP&pc=CPNTDF
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O17 - HKLM\System\CCS\Services\Tcpip\..\{237ACB3A-DEE5-4C28-A16E-69B27F27BB52}: NameServer = 85.255.112.120;85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7B09B52-73C3-4918-89B6-23A65FE6B94A}: NameServer = 85.255.112.120;85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{237ACB3A-DEE5-4C28-A16E-69B27F27BB52}: NameServer = 85.255.112.120;85.255.112.170
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation
Tune
TuneService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcappcapd.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdjgy.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
O23 - Service: XXBUZB - Conexant Systems, Inc. - (no file)

l'insoummis · Answer

bonjour , ton infection est bien collante . 

pour commencer tu dois arreter ce service qui n'est pas legitime ( c'est lui qui relance ton infection )


O23 - Service: Windows Tribute Service - Unknown owner - C:\Windows\system32\kdjgy.exe


Accèder à la liste des services installés

Pour voir tous les services actuellement installés sur votre système d'exploitation :

    * Menu Démarrer > Panneau de configuration > Outils d'administration > Services
    * Menu démarrer > Exécuter. Saisissez Services.msc


ensuite cherche ce service attention , ne touche a aucun autres !!!

Windows Tribute Service

une fois localisée effectue un clique droit puis met le statut desactivé , puis ferme la fenetre des services .



affiche les fichiers et dossiers caché du systeme pour t'aider regarde 
ici


apres :

suis ce chemin 


C:\Windows\system32\kdjgy.exe


une fois localisé effecue un clique droit sur dossier  kdjgy.exe selectionne renomer et  renome le avec l'extension .bak 
celas a pour bout de le transformer en une archive totalement inactive


ce n'est pas finit il reste encore du taf c'est une infection tenace


II )


télécharges smitfraudfix :

En image :
http://siri.urz.free.fr/Fix/SmitfraudFix.php

tu doubles cliques sur smitfraudfix.cmd et tu choisi l option 1
cela vas générer un rapport.

Copie/colle le rapport sur le forum stp.

l'insoumis · Answer

j'ai oubliés avant tout desactive l'uac



Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide. 

ensuite passe au directives poste 1

MrDilaw · Answer

Merci beaucoup pour la réponse de mon coté j'ai tenté pas mal de choses dont smitfraud et moultes autres,... en vain >_<

Mais je te remercie de m'avoir fait remarquer "kdjgy" qui j'espère résoudra le problème.

Donc j'ai suivi à la lettre tes indications et j'ai même fait un peu de zèle pour le service^^, qui était déjà désactivé
alors dans l'onglet connexion j'ai décoché la case "autoriser a interagir avec le bureau" et j'ai désactivé ce service pour le profil matériel "undocked profile"


Voila le rapport :

SmitFraudFix v2.378

Scan done at  9:26:47,45, 26/11/2008
Run from C:\Users\Dilaw\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» 


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Ensuite si j'ai bien compris ce petit trojan détourne mon dns avec les clés registre suivantes: 

O17 - HKLM\System\CCS\Services\Tcpip\..\{237ACB3A-DEE5-4C28-A16E-69B27F27BB52}: NameServer = 85.255.112.120;85.255.112.170
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7B09B52-73C3-4918-89B6-23A65FE6B94A}: NameServer = 85.255.112.120;85.255.112.170
O17 - HKLM\System\CS1\Services\Tcpip\..\{237ACB3A-DEE5-4C28-A16E-69B27F27BB52}: NameServer = 85.255.112.120;85.255.112.170

clés qui reviennent inexorablement après chaque reboot...


Enfin, y aurait-il un moyen d'acceder à l'option 5 de smitfraud via le mode sans echec, ou de trouver un equivalent?


Merci encore

ps: je serais de retour a 22h pour vous fournir d'eventuelles autres informations.

l'insoumis · Answer

ok peu tu me poster un nouveau rapport de smitfraudfix option en mode normal stp

as tu bien renommé comme ceci


C:\Windows\system32\kdjgy.bak 

l'option 5 de smitfraudfix ne s'execute qu'en mode normal

MrDilaw · Answer

J'ai bien renommé le fichié, quand a smitfraud je veux bien te faire le rapport en mode normal, encore faut-il qu'il fonctionne...dès que j'arrive au bureau tout se bloque et je suis obligé d'éteindre manuellement.

Mais je n'ai pas réessayé depuis les dernière manips, si je suis pas de retour dans 5 minutes...c'est que je suis désespéré (ou décédé).

l'insoumis · Answer

ok poste le rapport ensuite essaie ceci on va essayer de degrossir avec combofix 


Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

&#9658; Redemarre en mode sans echecs

&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. ( debranche ton cable ethernet , ...)

&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 





ensuite fait ceci



Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

MrDilaw · Answer

Miracle! Ça fonctionne!

voila le rapport: 


SmitFraudFix v2.378

Scan done at 12:06:23,57, 26/11/2008
Run from C:\Users\Dilaw\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\Dilaw\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» 


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll"
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\system32\userinit.exe,"


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Merci infiniment! Tu as ma gratitude éternelle^^

En bonus: La recherche et suppression de détournement de dns (option 5)

SmitFraudFix v2.378

Rapport fait à 12:11:16,43, 26/11/2008
Executé à partir de C:\Users\Dilaw\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6001] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix


»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

l'insoumis · Answer

bien ! ne crie pas victoire tout de suite , l'infection se trouve toujours dans ton pc !!


execute les directives poste 6 et poste moi les rapports 


http://www.commentcamarche.net/forum/affich 9600303 freeze au bureau#6

MrDilaw · Answer

Monde cruel, bon faut que je parte au boulot je reviens ce soir 22h T_T

(merci pour ta patience)

l'insoumis · Answer

tu me remerciras a la fin de ta desinfection .

bonne apres  midi , a ce soir .

MrDilaw · Answer

me voila de retour avec les résultats des scans: Combo fix: ComboFix 08-11-26.03 - Dilaw 2008-11-26 22:12:09.1 - NTFSx86 MINIMAL Lancé depuis: c:\users\Dilaw\Desktop\ComboFix.exe . [i] ADS - system32: deleted 12 bytes in 1 streams. /i (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\programdata\KEI c:\programdata\KEI\KEIU.exe c:\windows\system32\del.bat c:\windows\System32\FiPrAcfe.ini c:\windows\system32\FiPrAcfe.ini2 c:\windows\system32\ijl11pro.dll c:\windows\system32\mpt.exe D:\resycled d:\resycled\boot.com . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_WINDOWS_TRIBUTE_SERVICE -------\Service_Windows Tribute Service ((((((((((((((((((((((((((((( Fichiers créés du 2008-10-26 au 2008-11-26 )))))))))))))))))))))))))))))))))))) . 2008-11-26 12:07 . 2008-10-21 06:25 1,645,568 --a------ c:\windows\System32\connect.dll 2008-11-26 12:07 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll 2008-11-26 12:07 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll 2008-11-26 12:07 . 2008-08-28 04:40 712,704 --a------ c:\windows\System32\WindowsCodecs.dll 2008-11-26 12:07 . 2008-08-28 04:40 425,472 --a------ c:\windows\System32\PhotoMetadataHandler.dll 2008-11-26 12:07 . 2008-08-28 04:40 347,136 --a------ c:\windows\System32\WindowsCodecsExt.dll 2008-11-26 12:07 . 2008-10-22 04:57 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll 2008-11-26 12:07 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys 2008-11-26 11:52 . 2007-09-05 23:22 289,144 --a------ c:\windows\System32\VCCLSID.exe 2008-11-26 11:52 . 2006-04-27 16:49 288,417 --a------ c:\windows\System32\SrchSTS.exe 2008-11-26 11:52 . 2008-10-01 14:51 87,552 --a------ c:\windows\System32\VACFix.exe 2008-11-26 11:52 . 2008-10-10 07:58 82,944 --a------ c:\windows\System32\o4Patch.exe 2008-11-26 11:52 . 2008-05-18 20:40 82,944 --a------ c:\windows\System32\IEDFix.exe 2008-11-26 11:52 . 2008-10-10 07:58 82,944 --a------ c:\windows\System32\IEDFix.C.exe 2008-11-26 11:52 . 2008-08-18 11:19 82,432 --a------ c:\windows\System32\404Fix.exe 2008-11-26 11:52 . 2003-06-05 20:13 53,248 --a------ c:\windows\System32\Process.exe 2008-11-26 11:52 . 2004-07-31 17:50 51,200 --a------ c:\windows\System32\dumphive.exe 2008-11-26 11:52 . 2007-10-03 23:36 25,600 --a------ c:\windows\System32\WS2Fix.exe 2008-11-26 10:55 . 2008-11-26 10:55 d-------- c:\users\Dilaw\AppData\Roaming\Simply Super Software 2008-11-26 10:55 . 2008-11-26 10:55 d-------- c:\users\All Users\Simply Super Software 2008-11-26 10:55 . 2008-11-26 10:55 d-------- c:\programdata\Simply Super Software 2008-11-26 10:55 . 2008-11-26 11:47 d-------- c:\program files\Trojan Remover 2008-11-26 10:55 . 2006-05-25 14:52 162,304 --a------ c:\windows\System32\ztvunrar36.dll 2008-11-26 10:55 . 2003-02-02 19:06 153,088 --a------ c:\windows\System32\UNRAR3.dll 2008-11-26 10:55 . 2005-08-26 00:50 77,312 --a------ c:\windows\System32\ztvunace26.dll 2008-11-26 10:55 . 2002-03-06 00:00 75,264 --a------ c:\windows\System32\unacev2.dll 2008-11-26 10:55 . 2006-06-19 12:01 69,632 --a------ c:\windows\System32\ztvcabinet.dll 2008-11-25 23:11 . 2008-11-25 23:11 691 --a------ c:\users\Dilaw\AppData\Roaming\GetValue.vbs 2008-11-25 23:09 . 2008-11-26 12:06 6,054 --a------ c:\windows\System32\tmp.reg 2008-11-25 18:35 . 2008-11-25 18:35 d-------- c:\windows\KeyChanger Office Edition 2008-11-25 18:35 . 2008-11-25 18:39 d-------- c:\program files\KeyChanger Office Edition 2008-11-25 13:17 . 2008-11-25 13:17 d-------- c:\users\Dilaw\AppData\Roaming\Malwarebytes 2008-11-25 13:17 . 2008-11-25 13:17 d-------- c:\users\All Users\Malwarebytes 2008-11-25 13:17 . 2008-11-25 13:17 d-------- c:\programdata\Malwarebytes 2008-11-25 13:17 . 2008-11-25 13:17 d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-25 13:17 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2008-11-25 13:17 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2008-11-23 22:06 . 2008-11-23 22:06 d--h----- c:\windows\PIF 2008-11-23 22:06 . 2008-11-23 22:14 d-------- c:\users\All Users\Lavasoft 2008-11-23 22:06 . 2008-11-23 22:14 d-------- c:\programdata\Lavasoft 2008-11-23 22:06 . 2008-11-23 22:06 d-------- c:\program files\Lavasoft 2008-11-23 17:54 . 2008-11-23 17:54 4,096 --a------ c:\windows\System32\drivers\nocashio.sys 2008-11-22 18:57 . 2008-11-22 18:57 27 --a------ c:\windows\SmAudio.INI 2008-11-09 12:06 . 2007-07-25 12:48 172,032 --a------ c:\windows\System32\rixdicon.dll 2008-11-09 12:06 . 2007-08-08 20:42 45,568 --a------ c:\windows\System32\drivers\rimmptsk.sys 2008-11-09 12:06 . 2007-07-30 10:42 43,008 --a------ c:\windows\System32\drivers\rimsptsk.sys 2008-11-09 12:06 . 2007-07-30 11:54 38,400 --a------ c:\windows\System32\drivers\rixdptsk.sys 2008-11-09 10:48 . 2008-11-09 10:48 d-------- c:\program files\Driver-Soft 2008-11-09 10:48 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\System32\clinetsuitex6.ocx 2008-11-09 10:48 . 2004-06-14 14:56 427,864 --a------ c:\windows\System32\XceedZip.dll 2008-11-07 20:57 . 2008-11-07 20:57 d-------- c:\program files\NVIDIA Corporation 2008-11-07 20:55 . 2008-11-07 20:55 d-------- c:\program files\NVIDIA nTune Performance Application 2008-11-07 14:21 . 2008-11-07 14:21 d-------- c:\program files\Aspyr 2008-11-06 23:05 . 2008-11-06 23:05 d-------- c:\program files\MCEMediaManager 2008-11-06 18:18 . 2008-11-06 18:18 d-------- c:\users\Dilaw\AppData\Roaming\dvdcss 2008-11-02 14:10 . 2008-11-02 18:24 d-------- c:\users\Dilaw\.bitrock 2008-10-30 20:52 . 2008-05-30 14:11 3,850,760 --a------ c:\windows\System32\D3DX9_38.dll 2008-10-30 20:52 . 2008-05-30 14:11 1,491,992 --a------ c:\windows\System32\D3DCompiler_38.dll 2008-10-30 20:52 . 2008-05-30 14:19 507,400 --a------ c:\windows\System32\XAudio2_1.dll 2008-10-30 20:52 . 2008-05-30 14:11 467,984 --a------ c:\windows\System32\d3dx10_38.dll 2008-10-30 20:52 . 2008-05-30 14:18 238,088 --a------ c:\windows\System32\xactengine3_1.dll 2008-10-30 20:52 . 2008-05-30 14:17 65,032 --a------ c:\windows\System32\XAPOFX1_0.dll 2008-10-30 20:52 . 2008-05-30 14:17 25,608 --a------ c:\windows\System32\X3DAudio1_4.dll 2008-10-30 20:51 . 2006-09-28 16:05 2,414,360 --a------ c:\windows\System32\d3dx9_31.dll 2008-10-30 20:49 . 2008-10-30 20:49 107,832 --a------ c:\windows\System32\PnkBstrB.exe 2008-10-30 20:49 . 2008-10-30 20:49 66,872 --a------ c:\windows\System32\PnkBstrA.exe 2008-10-30 20:49 . 2008-10-30 20:49 22,328 --a------ c:\users\Dilaw\AppData\Roaming\PnkBstrK.sys 2008-10-30 14:06 . 2008-10-30 14:20 d-------- c:\windows\System32\Adobe 2008-10-29 11:37 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll 2008-10-29 11:37 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll 2008-10-29 11:37 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-26 21:07 843,808 --sha-w c:\windows\system32\drivers\fidbox2.dat 2008-11-26 21:07 713,792 --sha-w c:\windows\system32\drivers\fidbox.idx 2008-11-26 21:07 52,982,304 --sha-w c:\windows\system32\drivers\fidbox.dat 2008-11-26 21:07 5,012 --sha-w c:\windows\system32\drivers\fidbox2.idx 2008-11-26 21:04 --------- d-----w c:\programdata\Kaspersky Lab 2008-11-26 11:52 --------- d-----w c:\programdata\Microsoft Help 2008-11-26 10:53 --------- d---a-w c:\programdata\TEMP 2008-11-26 10:45 --------- d-----w c:\program files\Common Files\SureThing Shared 2008-11-26 08:54 --------- d-----w c:\program files\Net Tools 2008-11-25 15:55 --------- d-----w c:\users\Dilaw\AppData\Roaming\uTorrent 2008-11-24 10:17 49,159 ----a-w c:\users\Dilaw\AppData\Roaming\nvModes.dat 2008-11-23 21:14 --------- d-----w c:\program files\Common Files\Wise Installation Wizard 2008-11-21 19:13 --------- d--h--w c:\program files\InstallShield Installation Information 2008-11-21 19:13 --------- d-----w c:\program files\NCSoft 2008-11-07 13:19 --------- d-----w c:\program files\DivX 2008-11-06 09:59 --------- d-----w c:\program files\Common Files\Adobe 2008-11-04 12:25 --------- d-----w c:\programdata\Roxio 2008-11-02 13:10 --------- d-----w c:\program files\iWizz 2008-10-25 17:30 --------- d-----w c:\program files\Opera 2008-10-21 19:26 --------- d-----w c:\program files\Microsoft Silverlight 2008-10-21 08:53 --------- d-----w c:\program files\Common Files\INCA Shared 2008-10-21 08:44 --------- d-----w c:\program files\m0o.eu 2008-10-19 19:47 --------- d-----w c:\users\Dilaw\AppData\Roaming\teamspeak2 2008-10-19 19:47 --------- d-----w c:\program files\Teamspeak2_RC2 2008-10-17 16:16 --------- d-----w c:\program files\QuickTime 2008-10-17 16:15 --------- d-----w c:\programdata\Apple Computer 2008-10-17 16:15 --------- d-----w c:\program files\Common Files\Apple 2008-10-17 16:13 --------- d-----w c:\programdata\Apple 2008-10-17 16:13 --------- d-----w c:\program files\Apple Software Update 2008-10-15 18:28 --------- d-----w c:\program files\Windows Mail 2008-10-13 16:02 --------- d-----w c:\users\Dilaw\AppData\Roaming\GetRightToGo 2008-10-13 15:16 --------- d-----w c:\program files\Warcraft III 2008-10-06 10:49 --------- d-----w c:\programdata\ScanSoft 2008-10-04 10:23 --------- d-----w c:\program files\Aspell 2008-10-03 18:49 96,976 ----a-w c:\windows\system32\drivers\klin.dat 2008-10-03 18:39 --------- d-----w c:\program files\Kaspersky Lab 2008-10-03 18:37 --------- d-----w c:\programdata\Kaspersky Lab Setup Files 2008-04-27 14:46 174 --sha-w c:\program files\desktop.ini 2008-04-17 18:25 0 ----a-w c:\users\Dilaw\AppData\Roaming\wklnhst.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-02-13 159744] "HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2007-03-12 50696] "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-03-01 472776] "WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-10 317128] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400] "NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-07 86016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-07 81920] "Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2008-10-22 399504] "TrojanScanner"="c:\program files\Trojan Remover\Trjscan.exe" [2008-11-08 1233800] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 0 (0x0) "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoChangeAnimation"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "MemCheckBoxInRunDlg"= 1 (0x1) "NoStrCmpLogical"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1\mzvkbd.dll,c:\progra~1\KASPER~1\KASPER~1\mzvkbd3.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.divxa32"= divxa32.acm [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe "LightScribe Control Panel"=c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden "Sidebar"=c:\program files\Windows Sidebar\sidebar.exe /autoRun "AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount "NVIDIA nTune"="c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "HP Software Update"=c:\program files\Hp\HP Software Update\HPWuSchd2.exe "QPService"="c:\program files\HP\QuickPlay\QPService.exe" "BrMfcWnd"=c:\program files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN "ControlCenter3"=c:\program files\Brother\ControlCenter3\brctrcen.exe /autorun "SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot "PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" "IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" "PPort11reminder"="c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "c:\programdata\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"="0x00000000" "UpdatesDisableNotify"="0x00000000" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-417920435-1776420071-1062013462-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{D7633A66-46B7-426A-8BE0-57CD297CBA18}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{03983880-445D-49C0-B773-7A4FCE7DF4EF}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote "{95A730D5-D1DB-4A5B-ACC5-AB0146E370D9}"= c:\program files\HP\QuickPlay\QPService.exe:Quick Play Resident Program "{7D190C34-8445-4E8C-8B75-D9B5C6617D4C}"= Disabled:UDP:c:\program files\Skype\Phone\Skype.exe:Skype "{302E6026-5A3F-474E-95AB-C1883303D204}"= TCP:c:\program files\Skype\Phone\Skype.exe:Skype "TCP Query User{2FC917D4-907C-4E4D-AC92-64761B59C699}c:\program files\hp\hp software update\hpwucli.exe"= UDP:c:\program files\hp\hp software update\hpwucli.exe:HP Software Update Client "UDP Query User{5CF294C8-2F99-4DA8-B957-4D7E4F624D69}c:\program files\hp\hp software update\hpwucli.exe"= TCP:c:\program files\hp\hp software update\hpwucli.exe:HP Software Update Client "TCP Query User{7B57E16F-3CE6-4305-BF32-1FFA8A44A409}c:\program files\mozilla firefox\firefox.exe"= UDP:c:\program files\mozilla firefox\firefox.exe:Firefox "UDP Query User{A26079C9-CE0A-4F70-A19F-E75B7295D30F}c:\program files\mozilla firefox\firefox.exe"= TCP:c:\program files\mozilla firefox\firefox.exe:Firefox "{81958EF9-52BD-476F-821A-4D22EBAE2F44}"= UDP:21122:torrent "{EDFF3424-73B5-43F9-98CF-E2B0D9DAD97C}"= Disabled:UDP:25396:test "{EC6E0DA7-1427-4AE9-975F-3EAC90B8281B}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent "{45B6E713-43FF-4C65-90EE-8FD05E3601BF}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent "TCP Query User{CAC85C6F-6123-4E35-929E-70508F4F0167}c:\program files\internet download manager\idman.exe"= UDP:c:\program files\internet download manager\idman.exe:Internet Download Manager (IDM) "UDP Query User{03E6A535-1C54-4A74-856C-1BDFBA3C2034}c:\program files\internet download manager\idman.exe"= TCP:c:\program files\internet download manager\idman.exe:Internet Download Manager (IDM) "{65C61344-8916-4489-812C-D451F43849CB}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{0543D62C-8C2C-4D6A-82DE-B66646CFDCD4}c:\program files\net tools\nettools4.exe"= UDP:c:\program files\net tools\nettools4.exe:Net Tools by Mohammad Ahmadi Bidakhvidi "UDP Query User{C39AD01B-289B-49A1-B0B0-510796CA1736}c:\program files\net tools\nettools4.exe"= TCP:c:\program files\net tools\nettools4.exe:Net Tools by Mohammad Ahmadi Bidakhvidi "TCP Query User{2E2387C6-C31D-4BBC-B495-3A699E8A0047}c:\program files\turkojan\client.exe"= UDP:c:\program files\turkojan\client.exe:Client "UDP Query User{6A8AD4EC-E274-4D6A-AE85-B130088BDF0A}c:\program files\turkojan\client.exe"= TCP:c:\program files\turkojan\client.exe:Client "{C5094F6C-33B1-4834-B1C8-EBC720B53215}"= Disabled:UDP:6611:nightmare "TCP Query User{D9520DED-B76C-43C7-9CBE-25D0B1CD509E}c:\windows\explorer.exe"= UDP:c:\windows\explorer.exe:Explorateur Windows "UDP Query User{CD5CC313-FBB7-44B9-B83C-E5005C80DA2B}c:\windows\explorer.exe"= TCP:c:\windows\explorer.exe:Explorateur Windows "TCP Query User{194CCC72-AEC5-4707-99BE-346CD6F6C07F}c:\program files\opera\opera.exe"= UDP:c:\program files\opera\opera.exe:Opera Internet Browser "UDP Query User{90024977-80D8-467D-B2A7-B987D4663A47}c:\program files\opera\opera.exe"= TCP:c:\program files\opera\opera.exe:Opera Internet Browser "TCP Query User{8DCF4A69-BA40-4E90-9D47-5717F5BF6CB2}c:\program files\videolan\vlc\vlc.exe"= UDP:c:\program files\videolan\vlc\vlc.exe:VLC media player "UDP Query User{9A5593E7-104A-4164-A83B-2AC47ECD75FD}c:\program files\videolan\vlc\vlc.exe"= TCP:c:\program files\videolan\vlc\vlc.exe:VLC media player "{05B5A5F9-1171-49E8-B2A7-78A3DB4320BB}"= UDP:c:\program files\VoipStunt.com\VoipStunt\VoipStunt.exe:VoipStunt "{E4AE27F5-4138-4CF1-B108-2DB11591B952}"= TCP:c:\program files\VoipStunt.com\VoipStunt\VoipStunt.exe:VoipStunt "{9688CC7F-EBB1-4C44-8306-124C9216DD51}"= UDP:2645:2645 "{7140E618-0A10-47D9-B9F8-B7C383B014DB}"= UDP:c:\program files\VoipStunt.com\VoipStunt\VoipStunt.exe:VoipStunt "{AE18BD39-98B5-4654-8724-E23D9E00921E}"= TCP:c:\program files\VoipStunt.com\VoipStunt\VoipStunt.exe:VoipStunt "TCP Query User{EE901BD9-5368-4055-8A26-C170B784893B}c:\program files\steam\steamapps\winsurf1a\counter-strike\hl.exe"= UDP:c:\program files\steam\steamapps\winsurf1a\counter-strike\hl.exe:Half-Life Launcher "UDP Query User{1398B02C-BE3C-4116-AF60-6EFA55B3E6B5}c:\program files\steam\steamapps\winsurf1a\counter-strike\hl.exe"= TCP:c:\program files\steam\steamapps\winsurf1a\counter-strike\hl.exe:Half-Life Launcher "TCP Query User{66A939CF-EC4F-4A66-8B7A-0EAFF4E40FCC}c:\paccafe\steamapps\horizon1a\garrysmod\hl2.exe"= UDP:c:\paccafe\steamapps\horizon1a\garrysmod\hl2.exe:hl2 "UDP Query User{911941D4-B01B-482D-8FB2-3D12081E2164}c:\paccafe\steamapps\horizon1a\garrysmod\hl2.exe"= TCP:c:\paccafe\steamapps\horizon1a\garrysmod\hl2.exe:hl2 "TCP Query User{A5A6617B-9B5E-4B81-9BF3-E38B3622853C}c:\paccafe\steamapps\horizon1a\half-life 2 deathmatch\hl2.exe"= UDP:c:\paccafe\steamapps\horizon1a\half-life 2 deathmatch\hl2.exe:hl2 "UDP Query User{820FE276-C386-444C-A3F0-4DC4A81B2ED8}c:\paccafe\steamapps\horizon1a\half-life 2 deathmatch\hl2.exe"= TCP:c:\paccafe\steamapps\horizon1a\half-life 2 deathmatch\hl2.exe:hl2 "TCP Query User{D4EBC218-7CC4-48E1-80C8-1D3FBA380E94}c:\program files\steam\steamapps\winsurf1a\half-life 2 deathmatch\hl2.exe"= UDP:c:\program files\steam\steamapps\winsurf1a\half-life 2 deathmatch\hl2.exe:hl2 "UDP Query User{5D9AAFB0-3773-4CAE-BEEA-3B437907989D}c:\program files\steam\steamapps\winsurf1a\half-life 2 deathmatch\hl2.exe"= TCP:c:\program files\steam\steamapps\winsurf1a\half-life 2 deathmatch\hl2.exe:hl2 "TCP Query User{2FE7B548-421D-48C7-AD94-24DF7B5BC227}c:\program files\steam\steamapps\winsurf1a\half-life\hl.exe"= UDP:c:\program files\steam\steamapps\winsurf1a\half-life\hl.exe:Half-Life Launcher "UDP Query User{8E374FC5-B8AF-4690-BC25-66AC9480E278}c:\program files\steam\steamapps\winsurf1a\half-life\hl.exe"= TCP:c:\program files\steam\steamapps\winsurf1a\half-life\hl.exe:Half-Life Launcher "{317BC0A5-0769-486A-AB8F-66138A227F4F}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{FA947FE1-48A5-4B9E-84C2-6C42B1C81C0E}c:\program files\cain\cain.exe"= UDP:c:\program files\cain\cain.exe:Cain - Password Recovery Utility "UDP Query User{4D32DD58-A459-441E-AACC-257FF067E58B}c:\program files\cain\cain.exe"= TCP:c:\program files\cain\cain.exe:Cain - Password Recovery Utility "TCP Query User{21011D24-5634-4D5E-B52D-AC6111787060}c:\users\dilaw\documents\downloads\[pc game] doom 3 (extract and play)\[pc game] doom 3 (extract and play)\doom 3\doom3ded.exe"= UDP:c:\users\dilaw\documents\downloads\[pc game] doom 3 (extract and play)\[pc game] doom 3 (extract and play)\doom 3\doom3ded.exe:doom3ded.exe "UDP Query User{AE1981D0-6FF5-4014-9CDB-28D5B96C3A65}c:\users\dilaw\documents\downloads\[pc game] doom 3 (extract and play)\[pc game] doom 3 (extract and play)\doom 3\doom3ded.exe"= TCP:c:\users\dilaw\documents\downloads\[pc game] doom 3 (extract and play)\[pc game] doom 3 (extract and play)\doom 3\doom3ded.exe:doom3ded.exe "TCP Query User{248B2311-D596-4520-AA9E-638A2E11FB77}c:\program files\doom 3\doom3.exe"= UDP:c:\program files\doom 3\doom3.exe:DOOM 3 "UDP Query User{8BF71E3C-EC3A-4402-8F99-A7D8C069BA38}c:\program files\doom 3\doom3.exe"= TCP:c:\program files\doom 3\doom3.exe:DOOM 3 "{50EF65F4-ABF9-45B2-9990-FB2FF8C18ABD}"= UDP:48113:LocalSubnet:LocalSubnet:maconfig_tcp "{8AD13A93-05D3-4A63-956C-487DB5EA9A17}"= TCP:48113:LocalSubnet:LocalSubnet:maconfig_udp "{5738A468-C30B-4CB2-B168-C1277350CCBB}"= UDP:c:\program files\ma-config.com\maconfservice.exe:maconfservice "{50562D8C-0B50-4BC8-A833-77B5A5D62BB9}"= TCP:c:\program files\ma-config.com\maconfservice.exe:maconfservice "TCP Query User{EFFEAEE8-8F07-43AB-80BD-3F977AA4708C}c:\program files\windows sidebar\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Volet Windows "UDP Query User{6ACBF8C2-1CB2-4138-9F96-0ABE9D818DF6}c:\program files\windows sidebar\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Volet Windows "TCP Query User{CA87EC71-FDC8-47EF-A159-C63ECB704F25}c:\program files\warcraft iii\war3.exe"= UDP:c:\program files\warcraft iii\war3.exe:Warcraft III "UDP Query User{97F95528-CDD1-4009-99CF-D7C7BEC64FE7}c:\program files\warcraft iii\war3.exe"= TCP:c:\program files\warcraft iii\war3.exe:Warcraft III "TCP Query User{764CA9B2-88D2-4139-9394-177CD4F06FE1}c:\program files\skype\phone\skype.exe"= UDP:c:\program files\skype\phone\skype.exe:Skype "UDP Query User{2741D76A-4136-4338-BA72-E7835BA58082}c:\program files\skype\phone\skype.exe"= TCP:c:\program files\skype\phone\skype.exe:Skype "TCP Query User{E7E0E04D-8692-4BB6-9C4D-555B1F47C131}c:\program files\opera\opera.exe"= UDP:c:\program files\opera\opera.exe:Opera Internet Browser "UDP Query User{FF8726BB-C3DD-45F1-A209-23C57E0489D5}c:\program files\opera\opera.exe"= TCP:c:\program files\opera\opera.exe:Opera Internet Browser "{3449D238-4A1E-4824-A9AB-A772597E1DC7}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In) "{5DEB9AB0-826E-4B54-990C-356254B72E8F}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In) "{2871CF3C-7EC4-434F-A2C6-F82308CB074A}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent "{3468485F-9EEB-4E05-A3DF-6939326F70C0}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent "TCP Query User{028DB084-7E45-4FFE-B9A0-0C0DDF3C2CEC}c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\english\setup.exe"= UDP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\english\setup.exe:Kaspersky Internet Security 2009 Setup "UDP Query User{313A96B7-8BCD-4C13-B2FB-A3555D5B375E}c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\english\setup.exe"= TCP:c:\programdata\kaspersky lab setup files\kaspersky internet security 2009\english\setup.exe:Kaspersky Internet Security 2009 Setup "TCP Query User{544AC24B-2343-44B5-94A2-423A161E0F71}c:\program files\aspyr\guitar hero iii\gh3.exe"= UDP:c:\program files\aspyr\guitar hero iii\gh3.exe:Guitar Hero III "UDP Query User{BBAE1A8F-1481-48F5-8B5F-19BBC43D9D7C}c:\program files\aspyr\guitar hero iii\gh3.exe"= TCP:c:\program files\aspyr\guitar hero iii\gh3.exe:Guitar Hero III "{5BBB5354-43C6-45A2-98A9-D192FF4FB00D}"= Disabled:UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA "{ED799AD3-AA82-4C52-9C6A-0E9668BC20EC}"= Disabled:TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA "{F1D97834-DDAF-44B3-B227-936DBC807819}"= Disabled:UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB "{6878BED3-9D26-43DC-AF82-2A4392799F8D}"= Disabled:TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB "TCP Query User{AB8742AC-2B47-42F0-8953-3CD0253BFAD3}c:\program files\unreal tournament 3\binaries\ut3.exe"= Disabled:UDP:c:\program files\unreal tournament 3\binaries\ut3.exe:UT3 "UDP Query User{D2B29EA4-A000-4AE4-A166-C397F7DF64A6}c:\program files\unreal tournament 3\binaries\ut3.exe"= Disabled:TCP:c:\program files\unreal tournament 3\binaries\ut3.exe:UT3 "TCP Query User{E3A33F0F-24F7-480D-8559-8ED21C27700D}c:\program files\worm4\worms 4 mayhem.exe"= Disabled:UDP:c:\program files\worm4\worms 4 mayhem.exe:Worms 4 Mayhem "UDP Query User{BBC50192-97F4-4050-B18E-92CC9907F913}c:\program files\worm4\worms 4 mayhem.exe"= Disabled:TCP:c:\program files\worm4\worms 4 mayhem.exe:Worms 4 Mayhem "TCP Query User{73A240CB-321F-46B2-9E03-5C8A5544A13C}c:\users\dilaw\worm4\worms 4 mayhem.exe"= Disabled:UDP:c:\users\dilaw\worm4\worms 4 mayhem.exe:worms 4 mayhem.exe "UDP Query User{3AEB5693-EE2D-488D-8454-D0ABBB1A34A0}c:\users\dilaw\worm4\worms 4 mayhem.exe"= Disabled:TCP:c:\users\dilaw\worm4\worms 4 mayhem.exe:worms 4 mayhem.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2b834012-db2c-11dc-a375-001b24cb2a66}] \shell\AutoRun\command - f:\autoplay\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{68ac5673-1aa1-11dd-a3e2-001b24cb2a66}] \shell\AutoRun\command - G:\FrameworkCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}] "c:\program files\Common Files\LightScribe\LSRunOnce.exe" [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{39B9A23B-CA26-5E2E-DDCF-C7BB49AE9597}] c:\windows\system32:winmnms.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4B6327D4-8021-FDF8-CAF2-E2A69AEC318C}] C:\Windows:winmnms.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}] c:\program files\PixiePack Codec Pack\InstallerHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F854E582-E417-94DD-4B90-BF7052E00567}] c:\windows\system32:winmnms.exe . Contenu du dossier 'Tâches planifiées' 2008-11-26 c:\windows\Tasks\1-Click Maintenance.job - c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-06-20 08:09] 2008-11-25 c:\windows\Tasks\Malwarebytes' Scheduled Update for Dilaw.job - c:\program files\Malwarebytes' Anti-Malware\mbam.exe [2008-10-22 16:10] 2008-11-26 c:\windows\Tasks\User_Feed_Synchronization-{A8DDD807-7D5F-4DFC-8CC6-DA6F17610281}.job - c:\windows\system32\msfeedssync.exe [2008-01-19 08:33] . - - - - ORPHELINS SUPPRIMES - - - - ShellExecuteHooks-{1EEBF144-58E5-445A-AEEC-93057287226E} - (no file) . ------- Examen supplémentaire ------- . FireFox -: Profile - c:\users\Dilaw\AppData\Roaming\Mozilla\Firefox\Profiles\s4xizzde.default\ FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.1.0.30716.0.dll FF -: plugin - c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll FF -: plugin - c:\program files\Opera\program\plugins\npdivx32.dll FF -: plugin - c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll FF -: plugin - c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-26 22:18:54 Windows 6.0.6001 Service Pack 1 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\audiodg.exe c:\windows\System32\conime.exe c:\program files\Common Files\LightScribe\LSSrvc.exe c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe c:\program files\NVIDIA Corporation\nTune\nTuneService.exe c:\windows\System32\TCPSVCS.EXE c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe c:\windows\System32\drivers\XAudio.exe c:\windows\System32\rundll32.exe c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe c:\windows\System32\rundll32.exe c:\windows\System32\wbem\unsecapp.exe c:\program files\Hewlett-Packard\Shared\HpqToaster.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\Synaptics\SynTP\SynTPHelper.exe c:\program files\Hewlett-Packard\HP Health Check\HPHC_Service.exe c:\windows\servicing\TrustedInstaller.exe c:\windows\System32\dllhost.exe . ************************************************************************** . Heure de fin: 2008-11-26 22:25:47 - La machine a redémarré ComboFix-quarantined-files.txt 2008-11-26 21:25:41 Avant-CF: Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application. Après-CF: 84,558,245,888 octets libres 365 --- E O F --- 2008-11-26 11:54:23 RSIT:

Logfile of random's system information tool 1.04 (written by random/random)
Run by Dilaw at 2008-11-26 22:33:31
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 81 GB (56%) free of 145 GB
Total RAM: 1982 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:36, on 26/11/2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Dilaw\Desktop\RSIT.exe
C:\Users\Dilaw\Desktop\Dilaw.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~3.0_0\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85e1f530-48f4-11d9-9629-08ff2ffc9f67} - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (avp) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
O23 - Service: XXBUZB - Conexant Systems, Inc. - (no file)

l'insoumis · Answer

bonjour , je suis en train de fouiller dans tes rapports , il reste quelques crasses , j'analyses tes rapports et te tiens informé des suites a donner .

l'insoumis · Answer

affiche les fichiers et dossiers caches du systeme
 http://www.vista-xp.fr/forum/topic16.html


ensuite

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : 

C:\Users\Dilaw\Desktop\Dilaw.exe 

fait de meme avec ceux ci 

C:\Windows\system32\XAPOFX1_0.dll

C:\Windows\fdsv.exe 


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie les dans ta réponse.

MrDilaw · Answer

Rebonjour^^

Alors pour dilaw.exe je trouvais ca bizarre alors j'ai cherché de mon coté et je me suis rendu compte que c'est RSIT qu'il la retelechargé et renommer avec mon nom d'user, sinon j'ai bien affiché les fichiers système et voila les rapports:

Dilaw.exe
http://www.virustotal.com/fr/analisis/e1289f7f060669d770f22e095d1a1e90

XAPOFX1_0.dll(je sais ce que c'est)
http://www.virustotal.com/fr/analisis/2180ec182106992bf44fa7d6c24951d7

fdsv.exe
http://www.virustotal.com/fr/analisis/5ca7588429eeb50836922690ea017c43

l'insoumis · Answer

ok comment vas le pc jusqu'ici ? il y a des ameliorations , disfonctionnement ou autres ?
on va regarder avec gen proc


télécharge GenProc http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau

dézippe le dossier, double-clique sur GenProc.bat [img]http://forum.telecharger.01net.com/forum/­lies/jeanchretien1-3.gif/img et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

MrDilaw · Answer

Aucun problèmes depuis hier matin

Rapport GenProc 2.232 [1] -27/11/2008- Windows Vista 

 
GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 

 
 Poste un rapport Nod32 https://www.eset.com/
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

__________________________________________________________________________________________________________
 
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com 


Et la juste après le scan et le log je vien d'avoir un message d'erreur de windows script host:

Script:
C:\User\Dilaw\desktop\genproc\genproc\outil\message.vbs
...
erreur: Un composant ActiveX ne peut pas créer un objet/ 'Scripting.FilesSystemObject'


Enfin je le met pour le fun je pense pas réelment que ca ait de rapport, et je précise que je ne l'ai lancé qu'une fois.

l'insoumis · Answer

bien ca m'as l'air pas mal on vas finir en faisant oublie a ton pc qu'il a ete infecté


supprime ce dossier , si toujours present 

C:\Windows\system32\kdjgy.exe


ensuite




Telecharge

1)-- CCleaner
https://www.ccleaner.com/ccleaner/download
Choisi de préférence la version SLIM-No Toolbar.
Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.
Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Pour les autres paramètres, laisse-le avec ses réglages par défaut.
Ferme le programme pour l’instant.



2) Redémarre en mode sans échec

Regarde ici avant : http://pageperso.aol.fr/loraline60/mode_sans_echec.htm
Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuie sur la touche [F8] (ou [F5] sur certains pc) jusqu'à l'affichage du menu des options avancées de Windows.
Sélectionner "Mode sans échec" et appuie sur [Entrée]
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou une autre.



Ouvre le fichier texte sauvegardé sur le Bureau afin de suivre les instructions comme il faut.



3) Suppression de fichiers inutiles avec CCleaner

Lance CCleaner en double-cliquant sur son raccourci sur le bureau.
Puis dans le menu Nettoyeur
Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
Clique sur le bouton Lancer le nettoyage.
Clique une seconde fois sur le bouton Lancer le nettoyage
Clique sur registre cherche et repare les erreurs effectue trois fois la manipe pour que se sois efficace !

4) Rapports

Fais redémarrer le PC en mode normal puis poste en réponse :

---------

ensuite suppression des outils utilisés


· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


et derniere manip a effectuer tu dois purger ta restauration syteme afin d'y supprimer les virus restes en memoire dans ton pc

http://www.libellules.ch/desactiver_restauration.php

desactive la et ensuite tu la reactive puis tu cree un nouveau point de restauration sains


ensuite pour controle




* Fais un scan antivirus en ligne ICI :

https://www.bitdefender.fr/

et copie colle le résultat ici
* En bas, à gauche de la fenêtre, clique sur "BitDefender SCAN ONLINE"
* Dans la nouvelle fenêtre, clique sur "I agree"
* La fenêtre change encore, clique sur "Click here to scan"
* Les signatures se chargent, etc.

Tuto (merci Morgane)

http://pageperso.aol.fr/loraline60/bitdefender_scan.htm

le rapport de scan se trouve ici

C:\windows\bdoscan8\scanres.txt ou scanres.html 


enfin pense a recacher les fichiers et dossier du systeme 


comment se porte le pc ,  java n'est pas jours tu dois le mettre a jour il te faut la version 10

MrDilaw · Answer

Java mis à jour, tout les programme sont en attente et ton lien http://pageperso.aol.fr/loraline60/mode_sans_echec.htm est mort (si ca peut te rassurer je sais encore démarrer en sans échec^^)

Bref je m'occuperait de tout ça se soir.

Sinon le problème semble résolu et le sera définitivement après une raz des points de restaurations, merci encore je publierais les rapports se soir.

l'insoumis · Answer

desoles pour le  ( les )  liens lol ( insoumis et flemmard je suis , les canned ne sont pas de moi )

celui de toolscleaner est nase aussi  en voici un autre

http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner

passe une bonne apres midi

MrDilaw · Answer

Rebonsoir,

Ccleaner done

ToolsCleaner done :
[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !


Corbeille vidée!

Points de restaurations effaçés puis réactivé

Scan Bitdefender failed!
certainement un problème du site, quoiqu'il en soit je m'en passe assez volontier je pense que c'est superflux.


Voila il me semble que je vais pouvoir te remerçier maintenant?

l'insoumis · Answer

Bonjour comment vas tu ?

bon afin de remplacer le scan en ligne assure toi que ton anti virus (  kaspersky ) est bien a jours , ensuite effectue la mise a jour de malwaresbytes anti malwares puis effectue un scan complet de touts tes  lecteurs a la fin du scan si des malwares ont etes detectes clique sur supprimer la selection  ( je sais que tu l'as dejas fait  et que tu sais le faire , mais faut bien que je me repete histoire de faire croire que je suis utile !!! lol  )


Tu t'en ai tres bien sorti car comme tu pourras le voire en effectuant des recherche sur l'infection wareout , il n'y a plus d'outils disponible pour l'erradiquer , etant une infection tres collante beaucoup d'internautes d'esespere et abandonnent leurs postes, tu as su rester calme et combattre cette merdouille avec classe !!!

Je te remercie de ta confiance et  te souhaite une bonne continuation .

ps: je te fait passer par message privés (que tu trouveras tout en haut a droite) une de mes nombreuses adresse afin de pouvoire me contacter si tu rencontre a nouveau quelques soucis .( en somme pour le SAV!! lol)

MrDilaw · Answer

Bonjour à toi, mon pc se porte à merveille (mieux qu'avant l'infection) et du coup moi aussi^^.
J'ai été enchanté de pouvoir suivre tes indications, je pense sincèrement que beaucoup de gens aurait à apprendre de toi, au niveau comportementale j'entends.
Quoiqu'il en soit je t'ai déja offert ma reconnaissance éternelle, tu as donc désormais droit à  ma reconnaissance éternelle plus 2 jours!!^^
Voila ce fut un honneur pour moi d'avoir été aidé par le dernier bon samaritain?

l'insoumis · Answer

Ca as ete assez facile car tu prend soin de ton pc , j'ai vu que tu possede tunesup il est le logiciel a avoir sur son pc !

ta gratitude me vas droit au coeur ! C'est a moi de te remercier ;-)))))))))))

Prend soin de toi et de ton pc , ce fut un paisir de t'aider , bonne continuation , prend soin de toi, de ta famille  et de ton pc .

bonne continuation et n'hesite pas si tu as besoin de conseils ou d'aide ;-)))))))))

Freeze au bureau

23 réponses

Votre réponse

Discussions similaires

Newsletters