Fond d'écran "WARNING Dangerous Spyware"

apellegr06 -  
anthony5151 Messages postés 10927 Statut Contributeur sécurité -
Bonjour,

Depuis hier soir j'ai un fond d'écran noir avec le message "WARNING Dangerous Spyware", et dans la barre de tache un icone en rond rouge avec une croix blanche et une info bulle "Warning! Security report...".

Est-ce que vous pouvez m'aider ?

J'ai pris un peu d'avance et lancer le programme SmitfraudFix.exe, option 1, et voila le résultat :

SmitFraudFix v2.380

Rapport fait à 22:05:46,39, 01/12/2008
Executé à partir de C:\Documents and Settings\alain\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Sybase\SQL Anywhere 7\win32\dbsrv7.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Lexmark 3400 Series\lxcymon.exe
C:\Program Files\Lexmark 3400 Series\ezprint.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft ActiveSync\Wcescomm.exe
C:\Program Files\palmOne\HOTSYNC.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcycoms.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\alain\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alain

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alain\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\alain\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\alain\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Google\googletoolbar1.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Merci d'avance

Alain
Configuration: Windows XP
Internet Explorer 7.0

23 réponses

  • 1
  • 2
  1. chiti_ Messages postés 1045 Date d'inscription   Statut Membre Dernière intervention   129
     
    C'est un virus qui te fait tout ça, il est comme une publicité, mais c'est pas fini, car il va t'endommager les fichier system, pourquoi tu n'utilise pas un logiciel antivirus
    0
  2. apellegr06
     
    J'ai un anti virus (avira), mais j'ai lancé un .exe que j'ai téléchargé avant qu'il ne détecte la menace malheureusement !

    Est-ce qu'il y a un moyen de nettoyer mon ordi ?

    Merci
    Alain
    0
  3. chiti_ Messages postés 1045 Date d'inscription   Statut Membre Dernière intervention   129
     
    ouais, avec CCleaner, pour supprimer les tempos, ensuite, fais un scan antivirus,
    0
  4. apellegr06
     
    Le scan est en cours, est-ce qu'il va nettoyer mon ordinateur entierement de ce virus ?

    Merci
    Alain
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. apellegr06
     
    Bonjour,

    Le scan viens de se terminer, voici le résultat :

    Avira AntiVir Personal
    Report file date: lundi 1 décembre 2008 22:45

    Scanning for 1064570 virus strains and unwanted programs.

    Licensed to: Avira AntiVir PersonalEdition Classic
    Serial number: 0000149996-ADJIE-0001
    Platform: Windows XP
    Windows version: (Service Pack 3) [5.1.2600]
    Boot mode: Normally booted
    Username: SYSTEM
    Computer name: PELLEGRINO_CIA

    Version information:
    BUILD.DAT : 8.2.0.337 16934 Bytes 18/11/2008 13:05:00
    AVSCAN.EXE : 8.1.4.10 315649 Bytes 30/11/2008 12:11:30
    AVSCAN.DLL : 8.1.4.0 40705 Bytes 19/07/2008 06:51:50
    LUKE.DLL : 8.1.4.5 164097 Bytes 19/07/2008 06:51:50
    LUKERES.DLL : 8.1.4.0 12033 Bytes 19/07/2008 06:51:50
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 20:05:06
    ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09/11/2008 10:29:15
    ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30/11/2008 20:53:38
    ANTIVIR3.VDF : 7.1.0.170 62464 Bytes 01/12/2008 20:55:52
    Engineversion : 8.2.0.36
    AEVDF.DLL : 8.1.0.6 102772 Bytes 15/10/2008 18:44:20
    AESCRIPT.DLL : 8.1.1.15 332156 Bytes 12/11/2008 20:29:06
    AESCN.DLL : 8.1.1.5 123251 Bytes 07/11/2008 20:39:27
    AERDL.DLL : 8.1.1.3 438645 Bytes 06/11/2008 20:39:17
    AEPACK.DLL : 8.1.3.4 393591 Bytes 12/11/2008 20:29:05
    AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07/11/2008 20:39:27
    AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07/11/2008 20:39:26
    AEHELP.DLL : 8.1.2.0 119159 Bytes 18/11/2008 20:48:13
    AEGEN.DLL : 8.1.1.6 323955 Bytes 30/11/2008 12:11:31
    AEEMU.DLL : 8.1.0.9 393588 Bytes 15/10/2008 18:44:07
    AECORE.DLL : 8.1.5.2 172405 Bytes 30/11/2008 12:11:31
    AEBB.DLL : 8.1.0.3 53618 Bytes 15/10/2008 18:44:03
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 19/07/2008 06:51:50
    AVPREF.DLL : 8.0.2.0 38657 Bytes 19/07/2008 06:51:50
    AVREP.DLL : 8.0.0.2 98344 Bytes 25/09/2008 18:17:27
    AVREG.DLL : 8.0.0.1 33537 Bytes 19/07/2008 06:51:50
    AVARKT.DLL : 1.0.0.23 307457 Bytes 23/04/2008 18:47:13
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19/07/2008 06:51:50
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/04/2008 18:47:13
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19/07/2008 06:51:50
    NETNT.DLL : 8.0.0.1 7937 Bytes 23/04/2008 18:47:13
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19/07/2008 06:51:47
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 19/07/2008 06:51:47

    Configuration settings for the scan:
    Jobname..........................: Complete system scan
    Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
    Logging..........................: low
    Primary action...................: interactive
    Secondary action.................: ignore
    Scan master boot sector..........: on
    Scan boot sector.................: on
    Boot sectors.....................: C:,
    Process scan.....................: on
    Scan registry....................: on
    Search for rootkits..............: off
    Scan all files...................: Intelligent file selection
    Scan archives....................: on
    Recursion depth..................: 20
    Smart extensions.................: on
    Macro heuristic..................: on
    File heuristic...................: medium

    Start of the scan: lundi 1 décembre 2008 22:45

    The scan of running processes will be started
    Scan process 'avscan.exe' - '1' Module(s) have been scanned
    Scan process 'WCESMgr.exe' - '1' Module(s) have been scanned
    Scan process 'iexplore.exe' - '1' Module(s) have been scanned
    Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
    Scan process 'iexplore.exe' - '1' Module(s) have been scanned
    Scan process 'lxcycoms.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'alg.exe' - '1' Module(s) have been scanned
    Scan process 'rapimgr.exe' - '1' Module(s) have been scanned
    Scan process 'HOTSYNC.EXE' - '1' Module(s) have been scanned
    Scan process 'wcescomm.exe' - '1' Module(s) have been scanned
    Scan process 'GoogleToolbarNotifier.exe' - '1' Module(s) have been scanned
    Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
    Scan process 'ISUSPM.exe' - '1' Module(s) have been scanned
    Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
    Scan process 'frmwrk32.exe' - '1' Module(s) have been scanned
    Scan process 'ezprint.exe' - '1' Module(s) have been scanned
    Scan process 'lxcymon.exe' - '1' Module(s) have been scanned
    Scan process 'PWRISOVM.EXE' - '1' Module(s) have been scanned
    Scan process 'BJMYPRT.EXE' - '1' Module(s) have been scanned
    Scan process 'RTHDCPL.EXE' - '1' Module(s) have been scanned
    Scan process 'igfxpers.exe' - '1' Module(s) have been scanned
    Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
    Scan process 'jusched.exe' - '1' Module(s) have been scanned
    Scan process 'avgnt.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'sqlwriter.exe' - '1' Module(s) have been scanned
    Scan process 'sqlbrowser.exe' - '1' Module(s) have been scanned
    Scan process 'RegSrvc.exe' - '1' Module(s) have been scanned
    Scan process 'sqlservr.exe' - '1' Module(s) have been scanned
    Scan process 'MDM.EXE' - '1' Module(s) have been scanned
    Scan process 'ijplmsvc.exe' - '1' Module(s) have been scanned
    Scan process 'inetinfo.exe' - '1' Module(s) have been scanned
    Scan process 'mDNSResponder.exe' - '1' Module(s) have been scanned
    Scan process 'explorer.exe' - '1' Module(s) have been scanned
    Scan process 'dbsrv7.exe' - '1' Module(s) have been scanned
    Scan process 'sched.exe' - '1' Module(s) have been scanned
    Scan process 'avguard.exe' - '1' Module(s) have been scanned
    Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'S24EvMon.exe' - '1' Module(s) have been scanned
    Scan process 'EvtEng.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'svchost.exe' - '1' Module(s) have been scanned
    Scan process 'lsass.exe' - '1' Module(s) have been scanned
    Scan process 'services.exe' - '1' Module(s) have been scanned
    Scan process 'winlogon.exe' - '1' Module(s) have been scanned
    Scan process 'csrss.exe' - '1' Module(s) have been scanned
    Scan process 'smss.exe' - '1' Module(s) have been scanned
    51 processes with 51 modules were scanned

    Starting master boot sector scan:
    Master boot sector HD0
    [INFO] No virus was found!

    Start scanning boot sectors:
    Boot sector 'C:\'
    [INFO] No virus was found!

    Starting to scan the registry.
    The registry was scanned ( '62' files ).

    Starting the file scan:

    Begin scan in 'C:\'
    C:\pagefile.sys
    [WARNING] The file could not be opened!
    C:\Documents and Settings\alain\Bureau\SmitfraudFix.exe
    [DETECTION] Contains recognition pattern of the DR/Tool.Reboot.F.30 dropper
    [WARNING] The file was ignored!
    C:\WINDOWS\system32\ntdll64.exe
    [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [WARNING] The file was ignored!
    C:\WINDOWS\system32\SpywareRemover.exe
    [DETECTION] Is the TR/Dldr.AutoIt.IB Trojan
    [WARNING] The file was ignored!

    End of the scan: mardi 2 décembre 2008 07:26
    Used time: 8:40:58 Hour(s)

    The scan has been done completely.

    15539 Scanning directories
    505027 Files were scanned
    3 viruses and/or unwanted programs were found
    0 Files were classified as suspicious:
    0 files were deleted
    0 files were repaired
    0 files were moved to quarantine
    0 files were renamed
    1 Files cannot be scanned
    505023 Files not concerned
    2633 Archives were scanned
    4 Warnings
    0 Notes

    Merci
    Alain
    0
  7. Utilisateur anonyme
     
    Hi,

    Fait ceci dans l'ordre STP:

    Nettoyage:

    * Redemarrer l'ordinateur en mode sans échec:

    * Double cliquer sur smitfraudix:

    * Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

    * A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection:.

    * Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu:.

    * Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt:

    Option::

    * Pour effacer la liste des sites de confiance et sensibles, sélectionner 3 et pressez Entrée dans le menu.

    * A la question: Réinitialiser la liste des sites de confiance et sensibles ? répondre O (oui) et pressez Entrée afin de restaurer les zones de confiances et sensibles:.

    :FAUX POSITIF::

    process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    *=*=*=*=*=**=*=***=**=**=*=**=*=**=*=*=**=*=*=*=*=*=*=**=*=**=*=*=*=**=**=*=*=*=
    télécharge hijackthis
    -> enregistre la cible sous .... "le bureau"

    -> Fais un double-clic sur "HJTInstall.exe" afin de lancer l'installation

    -> Clique sur Install ensuite sur "I Accept"

    -> Clique sur" Do a scan system and save log file"

    -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

    ->Tuto hijackthis(Merci à Balltrap34)
    0
  8. apellegr06
     
    Bonjour,

    J'ai lancé SmitfraudFix.exe avec toutes options spécifiés et voici la log :

    SmitFraudFix v2.380

    Rapport fait à 7:57:46,42, 02/12/2008
    Executé à partir de C:\Documents and Settings\alain\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\Google\googletoolbar1.dll supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{F2F328C2-242B-434D-B7A9-EED428C471D7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin

    Ensuite, j'ai lancé HijackThis, et voici le résultat :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 08:10:29, on 02/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\explorer.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://boxsfr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
    O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [lxcymon.exe] "C:\Program Files\Lexmark 3400 Series\lxcymon.exe"
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 3400 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
    O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe.old
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [VMCL] C:\Program Files\vodafone\vmclite\DongleEnumerator.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
    O4 - Startup: PowerReg Scheduler.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = addxnet.com
    O17 - HKLM\Software\..\Telephony: DomainName = addxnet.com
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = addxnet.com
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = addxnet.com
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Adaptive Server Anywhere - dakar (ASANYs_dakar) - Sybase, Inc. - C:\Program Files\Sybase\SQL Anywhere 7\win32\dbsrv7.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
    O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
    O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  9. Utilisateur anonyme
     
    Hi,

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    SDFix (créé par AndyManchesta)

    ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe.

    ou http://downloads.andymanchesta.com/RemovalTools/SDFix.exe?thread

    ou http://sdfix.net/SDFix.exe

    --> Double-cliques sur SDFix.exe et choisis "Install" .
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

    • Redémarre ton ordinateur

    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).

    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.

    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".

    • Choisis ton compte.

    • Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis. pour lancer le script.

    • Appuie sur une touche pour commencer le processus de nettoyage.

    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

    • Appuie sur une touche pour redémarrer le PC.

    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau rapport Hijackthis !

    •NOTE:Si SDFix ne se lance pas
    Clique sur=> Démarrer => Exécuter
    Copie/colle ceci :
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

    Clique sur Ok.

    Redémarre et essaie de relance SDFix.
    0
  10. stephaanie
     
    Bonjour,

    moi aussi j'ai ce message.
    J'ai lancé une analyse avec Norton, une autre avec CC cleaner et une autre avec AdAware, tout en même temps. Puis j'ai redémarré l'ordi, et le message est toujours là. De plus, toutes les 5 minutes, il y a mes documents qui s'ouvre. Je ne sais pas quoi faire...
    0
  11. Utilisateur anonyme
     
    Hi Stephaanie ,*

    Comment faire sont propre topic sur CCM

    Merci

    0
    1. stephaanie
       
      Bonjour

      désolée, mais d'habitude sur les forums on demande de participer à un topic quand il traite du même sujet...
      0
  12. apellegr06
     
    Bonjour,

    Ca a été un peu long, mais les scans sont fini, par contre toujours le meme probleme.

    Voici le log de sdfix :

    [b]SDFix: Version 1.240 [/b]
    Run by alain on 02/12/2008 at 08:37

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    [b]Checking Services [/b]:

    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting

    [b]Checking Files [/b]:

    No Trojan Files Found

    Removing Temp Files

    [b]ADS Check [/b]:

    [b]Final Check [/b]:

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-03 01:38:51
    Windows 5.1.2600 Service Pack 3 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0

    [b]Remaining Services [/b]:

    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
    "C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"
    "C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
    "C:\\Program Files\\FileZilla FTP Client\\filezilla.exe"="C:\\Program Files\\FileZilla FTP Client\\filezilla.exe:*:Enabled:FileZilla FTP Client"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Documents and Settings\\alain\\Local Settings\\Temporary Internet Files\\Content.IE5\\P82QPZ2S\\WAR%20Europe%20Downloader[1].exe"="C:\\Documents and Settings\\alain\\Local Settings\\Temporary Internet Files\\Content.IE5\\P82QPZ2S\\WAR%20Europe%20Downloader[1].exe:*:Enabled:Warhammer Downloader"
    "C:\\Program Files\\Sybase\\SQL Anywhere 7\\win32\\dbeng7.exe"="C:\\Program Files\\Sybase\\SQL Anywhere 7\\win32\\dbeng7.exe:*:Enabled:Adaptive Server Anywhere Database Engine"
    "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
    "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

    [b]Remaining Files [/b]:

    [b]Files with Hidden Attributes [/b]:

    Sat 24 May 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"
    Fri 29 Aug 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Sat 24 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\alain\Application Data\U3\temp\Launchpad Removal.exe"
    Thu 13 Jul 2006 167,936 A..H. --- "C:\Documents and Settings\alain\Mes documents\CIA\Doc Manuel\FFM\~WRL0005.tmp"

    [b]Finished![/b]

    Et celui de Hijack :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 07:34:58, on 03/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Safe mode

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://boxsfr/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
    O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
    O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [lxcymon.exe] "C:\Program Files\Lexmark 3400 Series\lxcymon.exe"
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 3400 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
    O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe.old
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ISUSPM] "C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    O4 - HKCU\..\Run: [MsnMsgr] "C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [VMCL] C:\Program Files\vodafone\vmclite\DongleEnumerator.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE
    O4 - Startup: PowerReg Scheduler.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = addxnet.com
    O17 - HKLM\Software\..\Telephony: DomainName = addxnet.com
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = addxnet.com
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = addxnet.com
    O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Adaptive Server Anywhere - dakar (ASANYs_dakar) - Sybase, Inc. - C:\Program Files\Sybase\SQL Anywhere 7\win32\dbsrv7.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
    O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe
    O23 - Service: Visibroker Activation Daemon (oad) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\oad.exe
    O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\PROGRA~1\Borland\vbroker\bin\osagent.exe
    O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    0
  13. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour apellegr06,

    Télécharge et installe Malwarebytes' Anti-Malware
    - A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    - Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    - Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
    - Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
    - A la fin du scan, clique sur Afficher les résultats
    - Coche tous les éléments détectés puis clique sur Supprimer la sélection
    - Enregistre le rapport
    - S'il t'est demandé de redémarrer, clique sur Yes

    Poste le rapport de scan après la suppression ici

    0
  14. apellegr06
     
    Bonjour,

    J'ai réalisé le scan, et voici le resutat :

    Malwarebytes' Anti-Malware 1.30
    Version de la base de données: 1455
    Windows 5.1.2600 Service Pack 3

    03/12/2008 23:04:20
    mbam-log-2008-12-03 (23-04-20).txt

    Type de recherche: Examen rapide
    Eléments examinés: 57392
    Temps écoulé: 6 minute(s), 27 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 7
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Failed to unload process.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Delete on reboot.

    Merci

    Alain
    0
  15. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé.

    On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
    !! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

    Dans ton cas, il s'agit d'Antivir (fais un clic-droit sur l'icone d'Antivir et décoche « Activer Antivir Guard »)

    ---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

    Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    ---------------------------------------------------------------------------------------------------------------------------------

    Ensuite :

    Double-clique sur C-Fix.exe (= combofix.exe ) .

    Appuie sur une touche pour démarrer le scan .

    Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

    Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

    0
  16. apellegr06
     
    Bonjour,

    J'ai lancé C-Fix et voici le log :

    ComboFix 08-12-02.02 - alain 2008-12-04 7:48:13.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.609 [GMT 1:00]
    Lancé depuis: c:\documents and settings\alain\Bureau\C-Fix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\Cache
    c:\windows\system32\Cfx32.lic
    c:\windows\system32\cfx32.ocx

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-04 au 2008-12-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-03 22:56 . 2008-12-03 22:56 <REP> d-------- c:\documents and settings\alain\Application Data\Malwarebytes
    2008-12-03 22:56 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-03 22:55 . 2008-12-03 22:56 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-03 22:55 . 2008-12-03 22:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-03 22:55 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-02 08:35 . 2008-12-02 08:35 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
    2008-12-02 08:29 . 2008-12-02 08:30 <REP> d-------- c:\windows\ERUNT
    2008-12-02 08:25 . 2008-12-03 01:46 <REP> d-------- C:\SDFix
    2008-12-02 07:23 . 2008-12-02 07:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2008-12-01 22:36 . 2008-12-01 22:36 <REP> d-------- c:\program files\Yahoo!
    2008-12-01 22:36 . 2008-12-01 22:37 <REP> d-------- c:\program files\CCleaner
    2008-12-01 22:17 . 2008-12-01 22:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-01 22:05 . 2008-12-02 07:57 3,520 --a------ c:\windows\system32\tmp.reg
    2008-11-30 21:13 . 2008-11-30 21:13 1 --a------ c:\windows\system32\uniq.tll
    2008-11-30 21:13 . 2008-11-30 21:13 1 --a------ c:\windows\system32\test.ttt
    2008-11-30 21:03 . 2008-11-30 21:03 <REP> d-------- C:\Scenes
    2008-11-30 20:57 . 2008-11-30 20:57 <REP> d-------- C:\Scenes.ol
    2008-11-30 20:56 . 2008-11-30 21:03 <REP> d-------- C:\KD
    2008-11-30 20:56 . 2004-11-18 11:49 24,786 --a------ c:\windows\system32\drivers\eusk2par.sys
    2008-11-27 18:37 . 2008-11-27 18:37 <REP> d-------- c:\program files\Microsoft ActiveSync
    2008-11-26 10:58 . 2008-11-26 10:58 297,697 --a------ c:\windows\system32\SpywareRemover.exe
    2008-11-25 17:03 . 2008-11-25 17:03 <REP> d-------- c:\program files\Hewlett-Packard
    2008-11-24 22:16 . 2008-12-04 07:41 <REP> d-------- C:\aso
    2008-11-24 22:03 . 2008-11-24 22:03 <REP> d-------- c:\program files\ASADAC Full
    2008-11-23 15:35 . 2008-11-23 15:35 <REP> d-------- C:\CrystalVCL4
    2008-11-19 23:46 . 2008-11-19 23:46 <REP> d-------- c:\program files\Sybase
    2008-11-19 23:46 . 1998-10-29 17:45 306,688 --a------ c:\windows\IsUninst.exe
    2008-11-19 23:42 . 2008-11-19 23:42 <REP> d-------- c:\program files\MapInfo MapX
    2008-11-19 23:40 . 2008-11-19 23:41 <REP> d-------- c:\windows\Crystal
    2008-11-19 23:40 . 2008-11-19 23:41 <REP> d-------- c:\program files\Seagate Software
    2008-11-19 23:30 . 2000-02-15 05:01 264,704 --a------ c:\windows\system32\midas.dll
    2008-11-19 23:30 . 1999-03-03 05:01 212,440 --a------ c:\windows\system32\dbclient.dll
    2008-11-19 23:27 . 2008-11-19 23:30 <REP> d-------- c:\program files\Fichiers communs\Borland Shared
    2008-11-19 23:27 . 2008-11-24 21:55 <REP> d-------- c:\program files\Borland
    2008-11-19 23:27 . 2000-02-25 05:01 2,023,424 --a------ c:\windows\system32\vcl50.bpl
    2008-11-19 23:26 . 1998-11-13 12:16 308,224 --a------ c:\windows\IsUn040c.exe
    2008-11-12 22:14 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
    2008-11-12 22:12 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
    2008-11-04 22:02 . 2008-11-04 22:02 571 --a------ c:\windows\system32\FeMakro.ini
    2008-11-04 22:02 . 2008-11-04 22:02 497 --a------ c:\windows\system32\FeAnim.ini
    2008-11-04 21:58 . 2004-02-16 18:48 323,584 --a------ c:\windows\system32\AcShlExt.dll
    2008-11-04 21:58 . 2002-11-27 12:12 4,608 --a------ c:\windows\system32\W95INF32.DLL
    2008-11-04 21:58 . 2002-11-27 12:12 2,272 --a------ c:\windows\system32\W95INF16.DLL
    2008-11-04 21:58 . 2004-03-10 19:49 1,069 --a------ c:\windows\system32\vbrun60.inf
    2008-11-04 21:54 . 2008-11-04 21:54 <REP> d-------- c:\program files\Micro Application

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-03 23:26 --------- d-----w c:\program files\eMule
    2008-12-03 22:32 --------- d-----w c:\documents and settings\alain\Application Data\LimeWire
    2008-12-02 06:57 --------- d-----w c:\program files\Google
    2008-11-18 20:54 --------- d-----w c:\documents and settings\alain\Application Data\XnView
    2008-11-17 20:40 --------- d-----w c:\documents and settings\alain\Application Data\Azureus
    2008-11-17 06:49 --------- d-----w c:\program files\lx_cats
    2008-11-16 20:43 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
    2008-11-04 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-02 09:50 --------- d-----w c:\program files\Azureus
    2008-10-27 22:17 --------- d-----w c:\documents and settings\alain\Application Data\FileZilla
    2008-10-27 19:52 --------- d-----w c:\program files\DVD Shrink
    2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-21 20:24 --------- d-----w c:\program files\Microsoft Silverlight
    2008-10-19 18:47 --------- d-----w c:\program files\L'Aventure Multimedia
    2008-10-16 22:34 --------- d-----w c:\program files\Fichiers communs\Adobe
    2008-10-16 22:19 --------- d-----w c:\program files\Bonjour
    2008-10-16 22:11 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-13 18:33 --------- d-----w c:\program files\Lexmark Toolbar
    2008-10-13 18:30 --------- d-----w c:\program files\Lexmark Fax Solutions
    2008-10-13 18:29 --------- d-----w c:\program files\Lexmark 3400 Series
    2008-10-13 18:28 --------- d-----w c:\program files\Abbyy FineReader 6.0 Sprint
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
    2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
    2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
    2008-05-20 19:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008052020080521\index.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "ISUSPM"="c:\documents and settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
    "MsnMsgr"="c:\progra~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2007-10-18 5724184]
    "VMCL"="c:\program files\vodafone\vmclite\DongleEnumerator.exe" [2007-11-07 131072]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-11-23 171448]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-29 94208]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-29 77824]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
    "PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2008-03-15 233472]
    "lxcymon.exe"="c:\program files\Lexmark 3400 Series\lxcymon.exe" [2006-03-06 286720]
    "EzPrint"="c:\program files\Lexmark 3400 Series\ezprint.exe" [2006-02-07 98304]
    "FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 290816]
    "LXCYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll" [2006-02-24 65536]
    "RTHDCPL"="RTHDCPL.EXE" [2005-06-29 c:\windows\RTHDCPL.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\alain\Menu D‚marrer\Programmes\D‚marrage\
    HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-04-12 299008]
    PowerReg Scheduler.exe [2008-05-25 233472]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "SynchronousMachineGroupPolicy"= 0 (0x0)
    "SynchronousUserGroupPolicy"= 0 (0x0)
    "disablecad"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Sybase\\SQL Anywhere 7\\win32\\dbeng7.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R3 lxcy_device;lxcy_device;c:\windows\system32\lxcycoms.exe -service []
    S1 eusk2par;EUTRON SmartKey Parallel Driver;\??\c:\windows\system32\Drivers\eusk2par.sys [2008-11-30 24786]
    S2 ASANYs_dakar;Adaptive Server Anywhere - dakar;c:\program files\Sybase\SQL Anywhere 7\win32\dbsrv7.exe -hvASANYs_dakar []
    S3 oad;Visibroker Activation Daemon;c:\progra~1\Borland\vbroker\bin\oad.exe [2008-11-19 1781248]
    S3 osagent;VisiBroker Smart Agent;c:\progra~1\Borland\vbroker\bin\osagent.exe [2008-11-19 193536]
    S3 TV_551805_Sp50;TV_551805_Sp50 NDIS Protocol Driver;c:\windows\system32\Drivers\TV_551805_Sp50.sys [2008-05-21 27072]
    S3 VSPerfDrv;Performance Tools Driver;\??\c:\program files\Microsoft Visual Studio 8\Team Tools\Performance Tools\VSPerfDrv.sys [2005-09-23 54464]
    S4 msvsmon80;Visual Studio 2005 Remote Debugger;"c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 [2005-09-23 2799808]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ba68766-128e-11dd-990c-9b6fd0592f2c}]
    \Shell\AutoRun\command - D:\StartVMCLite.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ba68767-128e-11dd-990c-9b6fd0592f2c}]
    \Shell\AutoRun\command - F:\StartVMCLite.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bf6f536-2290-11dd-9930-0013a90254e8}]
    \Shell\AutoRun\command - D:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e594caee-114a-11dd-9903-a459572dd525}]
    \Shell\AutoRun\command - F:\StartVMCLite.exe

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'

    2008-11-27 c:\windows\Tasks\BACKUP.job
    - c:\aso\backup\BACKUP_BASE.bat [2008-11-27 12:07]

    2008-12-04 c:\windows\Tasks\GoogleUpdateTaskUser.job
    - c:\documents and settings\alain\Local Settings\Application Data\Google\Update\GoogleUpdate.exe []

    2008-11-27 c:\windows\Tasks\stats.job
    - c:\aso\StatVerif\stats.bat [2005-12-28 16:52]
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-SpywareCleaner - c:\windows\system32\SpywareRemover.exe.old
    HKLM-Run-NWEReboot - (no file)

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-04 07:49:45
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-12-04 7:51:12
    ComboFix-quarantined-files.txt 2008-12-04 06:50:44

    Avant-CF: 19 517 038 592 octets libres
    Après-CF: 19,647,844,352 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

    207 --- E O F --- 2008-11-13 06:50:44

    Merci

    Alain
    0
  17. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    /!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour apellegr06, il n'est pas transposable sur un autre ordinateur !

    Toujours avec toutes les protections désactivées, fais ceci :

    Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    File::
    c:\windows\system32\uniq.tll
    c:\windows\system32\test.ttt
    c:\windows\system32\SpywareRemover.exe
    C:\WINDOWS\system32\frmwrk32.exe

    ------------------------------------------------------------------

    - Enregistre ce fichier sur ton bureau (et pas ailleurs !) sous le nom CFScript.txt
    - Quitte le Bloc Notes

    · Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

    * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
    Ne touche à rien tant que le scan n'est pas terminé.
    * Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

    Ensuite, télécharge UsbFix (de Chiquitine29 et chimay8) sur ton Bureau : http://sd-1.archive-host.com/membres/up/116615172019703188/UsbFix.exe
    - Lance l'installation avec les paramètres par défaut
    - Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton bureau
    - Au menu principal, choisis nettoyage
    - Le pc va redémarrer
    - Après redémarrage, poste le rapport UsbFix.txt (il est sauvegardé a la racine du disque dur)

    Enfin, relance USBFix, toujours avec tous tes disques amovibles branchés, et choisis Vaccination stp

    0
  18. apellegr06
     
    Bonjour,

    Voici le rapport de C-Fix :

    ComboFix 08-12-02.02 - alain 2008-12-04 20:45:56.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.526 [GMT 1:00]
    Lancé depuis: c:\documents and settings\alain\Bureau\C-Fix.exe
    Commutateurs utilisés :: c:\documents and settings\alain\Bureau\CFScript.txt
    * Un nouveau point de restauration a été créé

    FILE ::
    c:\windows\system32\frmwrk32.exe
    c:\windows\system32\SpywareRemover.exe
    c:\windows\system32\test.ttt
    c:\windows\system32\uniq.tll
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\SpywareRemover.exe
    c:\windows\system32\test.ttt
    c:\windows\system32\uniq.tll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-04 au 2008-12-04 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-03 22:56 . 2008-12-03 22:56 <REP> d-------- c:\documents and settings\alain\Application Data\Malwarebytes
    2008-12-03 22:56 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-12-03 22:55 . 2008-12-03 22:56 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-03 22:55 . 2008-12-03 22:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-03 22:55 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-02 08:35 . 2008-12-02 08:35 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
    2008-12-02 08:29 . 2008-12-02 08:30 <REP> d-------- c:\windows\ERUNT
    2008-12-02 08:25 . 2008-12-03 01:46 <REP> d-------- C:\SDFix
    2008-12-02 07:23 . 2008-12-02 07:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2008-12-01 22:36 . 2008-12-01 22:36 <REP> d-------- c:\program files\Yahoo!
    2008-12-01 22:36 . 2008-12-01 22:37 <REP> d-------- c:\program files\CCleaner
    2008-12-01 22:17 . 2008-12-01 22:17 <REP> d-------- c:\program files\Trend Micro
    2008-12-01 22:05 . 2008-12-02 07:57 3,520 --a------ c:\windows\system32\tmp.reg
    2008-11-30 21:03 . 2008-11-30 21:03 <REP> d-------- C:\Scenes
    2008-11-30 20:57 . 2008-11-30 20:57 <REP> d-------- C:\Scenes.ol
    2008-11-30 20:56 . 2008-11-30 21:03 <REP> d-------- C:\KD
    2008-11-30 20:56 . 2004-11-18 11:49 24,786 --a------ c:\windows\system32\drivers\eusk2par.sys
    2008-11-27 18:37 . 2008-11-27 18:37 <REP> d-------- c:\program files\Microsoft ActiveSync
    2008-11-25 17:03 . 2008-11-25 17:03 <REP> d-------- c:\program files\Hewlett-Packard
    2008-11-24 22:16 . 2008-12-04 07:41 <REP> d-------- C:\aso
    2008-11-24 22:03 . 2008-11-24 22:03 <REP> d-------- c:\program files\ASADAC Full
    2008-11-23 15:35 . 2008-11-23 15:35 <REP> d-------- C:\CrystalVCL4
    2008-11-19 23:46 . 2008-11-19 23:46 <REP> d-------- c:\program files\Sybase
    2008-11-19 23:46 . 1998-10-29 17:45 306,688 --a------ c:\windows\IsUninst.exe
    2008-11-19 23:42 . 2008-11-19 23:42 <REP> d-------- c:\program files\MapInfo MapX
    2008-11-19 23:40 . 2008-11-19 23:41 <REP> d-------- c:\windows\Crystal
    2008-11-19 23:40 . 2008-11-19 23:41 <REP> d-------- c:\program files\Seagate Software
    2008-11-19 23:30 . 2000-02-15 05:01 264,704 --a------ c:\windows\system32\midas.dll
    2008-11-19 23:30 . 1999-03-03 05:01 212,440 --a------ c:\windows\system32\dbclient.dll
    2008-11-19 23:27 . 2008-11-19 23:30 <REP> d-------- c:\program files\Fichiers communs\Borland Shared
    2008-11-19 23:27 . 2008-11-24 21:55 <REP> d-------- c:\program files\Borland
    2008-11-19 23:27 . 2000-02-25 05:01 2,023,424 --a------ c:\windows\system32\vcl50.bpl
    2008-11-19 23:26 . 1998-11-13 12:16 308,224 --a------ c:\windows\IsUn040c.exe
    2008-11-12 22:14 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
    2008-11-12 22:12 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
    2008-11-04 22:02 . 2008-11-04 22:02 571 --a------ c:\windows\system32\FeMakro.ini
    2008-11-04 22:02 . 2008-11-04 22:02 497 --a------ c:\windows\system32\FeAnim.ini
    2008-11-04 21:58 . 2004-02-16 18:48 323,584 --a------ c:\windows\system32\AcShlExt.dll
    2008-11-04 21:58 . 2002-11-27 12:12 4,608 --a------ c:\windows\system32\W95INF32.DLL
    2008-11-04 21:58 . 2002-11-27 12:12 2,272 --a------ c:\windows\system32\W95INF16.DLL
    2008-11-04 21:58 . 2004-03-10 19:49 1,069 --a------ c:\windows\system32\vbrun60.inf
    2008-11-04 21:54 . 2008-11-04 21:54 <REP> d-------- c:\program files\Micro Application

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-03 23:26 --------- d-----w c:\program files\eMule
    2008-12-03 22:32 --------- d-----w c:\documents and settings\alain\Application Data\LimeWire
    2008-12-02 06:57 --------- d-----w c:\program files\Google
    2008-11-18 20:54 --------- d-----w c:\documents and settings\alain\Application Data\XnView
    2008-11-17 20:40 --------- d-----w c:\documents and settings\alain\Application Data\Azureus
    2008-11-17 06:49 --------- d-----w c:\program files\lx_cats
    2008-11-16 20:43 --------- d-----w c:\documents and settings\All Users\Application Data\DVD Shrink
    2008-11-04 20:54 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-11-02 09:50 --------- d-----w c:\program files\Azureus
    2008-10-27 22:17 --------- d-----w c:\documents and settings\alain\Application Data\FileZilla
    2008-10-27 19:52 --------- d-----w c:\program files\DVD Shrink
    2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-21 20:24 --------- d-----w c:\program files\Microsoft Silverlight
    2008-10-19 18:47 --------- d-----w c:\program files\L'Aventure Multimedia
    2008-10-16 22:34 --------- d-----w c:\program files\Fichiers communs\Adobe
    2008-10-16 22:19 --------- d-----w c:\program files\Bonjour
    2008-10-16 22:11 --------- d-----w c:\program files\Fichiers communs\Macrovision Shared
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
    2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
    2008-10-13 18:33 --------- d-----w c:\program files\Lexmark Toolbar
    2008-10-13 18:30 --------- d-----w c:\program files\Lexmark Fax Solutions
    2008-10-13 18:29 --------- d-----w c:\program files\Lexmark 3400 Series
    2008-10-13 18:28 --------- d-----w c:\program files\Abbyy FineReader 6.0 Sprint
    2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
    2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
    2008-09-10 01:15 1,307,648 ----a-w c:\windows\system32\msxml6.dll
    2008-09-04 17:16 1,106,944 ----a-w c:\windows\system32\msxml3.dll
    2008-05-20 19:35 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008052020080521\index.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "ISUSPM"="c:\documents and settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]
    "MsnMsgr"="c:\progra~1\WINDOW~4\MESSEN~1\msnmsgr.exe" [2007-10-18 5724184]
    "VMCL"="c:\program files\vodafone\vmclite\DongleEnumerator.exe" [2007-11-07 131072]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-11-23 171448]
    "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-29 94208]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-29 77824]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2005-06-29 114688]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
    "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-15 644696]
    "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-04 1603152]
    "PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2008-03-15 233472]
    "lxcymon.exe"="c:\program files\Lexmark 3400 Series\lxcymon.exe" [2006-03-06 286720]
    "EzPrint"="c:\program files\Lexmark 3400 Series\ezprint.exe" [2006-02-07 98304]
    "FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2006-02-02 290816]
    "LXCYCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll" [2006-02-24 65536]
    "RTHDCPL"="RTHDCPL.EXE" [2005-06-29 c:\windows\RTHDCPL.EXE]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\alain\Menu D‚marrer\Programmes\D‚marrage\
    HotSync Manager.lnk - c:\program files\palmOne\HOTSYNC.EXE [2004-04-12 299008]
    PowerReg Scheduler.exe [2008-05-25 233472]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "SynchronousMachineGroupPolicy"= 0 (0x0)
    "SynchronousUserGroupPolicy"= 0 (0x0)
    "disablecad"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\LimeWire\\LimeWire.exe"=
    "c:\\Program Files\\Azureus\\Azureus.exe"=
    "c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\FileZilla FTP Client\\filezilla.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Sybase\\SQL Anywhere 7\\win32\\dbeng7.exe"=
    "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
    "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
    "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

    R3 lxcy_device;lxcy_device;c:\windows\system32\lxcycoms.exe -service []
    S1 eusk2par;EUTRON SmartKey Parallel Driver;\??\c:\windows\system32\Drivers\eusk2par.sys [2008-11-30 24786]
    S2 ASANYs_dakar;Adaptive Server Anywhere - dakar;c:\program files\Sybase\SQL Anywhere 7\win32\dbsrv7.exe -hvASANYs_dakar []
    S3 oad;Visibroker Activation Daemon;c:\progra~1\Borland\vbroker\bin\oad.exe [2008-11-19 1781248]
    S3 osagent;VisiBroker Smart Agent;c:\progra~1\Borland\vbroker\bin\osagent.exe [2008-11-19 193536]
    S3 TV_551805_Sp50;TV_551805_Sp50 NDIS Protocol Driver;c:\windows\system32\Drivers\TV_551805_Sp50.sys [2008-05-21 27072]
    S3 VSPerfDrv;Performance Tools Driver;\??\c:\program files\Microsoft Visual Studio 8\Team Tools\Performance Tools\VSPerfDrv.sys [2005-09-23 54464]
    S4 msvsmon80;Visual Studio 2005 Remote Debugger;"c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" /service msvsmon80 [2005-09-23 2799808]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ba68766-128e-11dd-990c-9b6fd0592f2c}]
    \Shell\AutoRun\command - D:\StartVMCLite.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ba68767-128e-11dd-990c-9b6fd0592f2c}]
    \Shell\AutoRun\command - F:\StartVMCLite.exe

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bf6f536-2290-11dd-9930-0013a90254e8}]
    \Shell\AutoRun\command - D:\LaunchU3.exe -a

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e594caee-114a-11dd-9903-a459572dd525}]
    \Shell\AutoRun\command - F:\StartVMCLite.exe

    *Newly Created Service* - PROCEXP90
    .
    Contenu du dossier 'Tâches planifiées'

    2008-11-27 c:\windows\Tasks\BACKUP.job
    - c:\aso\backup\BACKUP_BASE.bat [2008-11-27 12:07]

    2008-12-04 c:\windows\Tasks\GoogleUpdateTaskUser.job
    - c:\documents and settings\alain\Local Settings\Application Data\Google\Update\GoogleUpdate.exe []

    2008-11-27 c:\windows\Tasks\stats.job
    - c:\aso\StatVerif\stats.bat [2005-12-28 16:52]
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-04 20:47:36
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCYCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(908)
    c:\windows\system32\igfxdev.dll
    .
    Heure de fin: 2008-12-04 20:48:58
    ComboFix-quarantined-files.txt 2008-12-04 19:48:31
    ComboFix2.txt 2008-12-04 06:51:14

    Avant-CF: 19 592 773 632 octets libres
    Après-CF: 19,580,526,592 octets libres

    205 --- E O F --- 2008-11-13 06:50:44

    Merci

    Alain
    0
  19. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bien :)
    J'attends le rapport d'USBFix ;)

    0
  20. apellegr06
     
    Oups,
    Désolé, voici le rapport usbfix :

    -------------- UsbFix V2.413.2 ---------------

    * User : alain - PELLEGRINO_CIA
    * Outils mis a jours le 01/12/2008 par Chiquitine29 et Chimay8
    * Recherche effectuée à 20:56:21 le 04/12/2008
    * Windows Xp - Internet Explorer 7.0.5730.13

    --------------- [ Processus actifs ] ----------------

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
    C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\DOCUME~1\alain\LOCALS~1\Temp\1.tmp\b2e.exe

    --------------- [ Informations lecteurs ] ----------------

    C: - Lecteur fixe

    E: - Lecteur de CD-ROM

    --------------- [ Lecteur C ] ----------------

    C: - Lecteur fixe

    +- Listing des fichiers présents :

    [23/04/2008 15:30][--a------] C:\AUTOEXEC.BAT
    [23/04/2008 17:29][-rahs----] C:\NTDETECT.COM
    [04/12/2008 07:45][-rahs----] C:\boot.ini
    [04/12/2008 20:48][--a------] C:\ComboFix.txt
    [04/12/2008 20:48][--a------] C:\rapport.txt
    [04/12/2008 20:48][--a------] C:\UsbFix.txt
    [23/04/2008 15:30][--a------] C:\CONFIG.SYS
    [23/04/2008 15:30][--a------] C:\IO.SYS
    [23/04/2008 15:30][--a------] C:\MSDOS.SYS
    [23/04/2008 15:30][--a------] C:\pagefile.sys

    --------------- [ Lecteur E ] ----------------

    E: - Lecteur de CD-ROM

    +- Listing des fichiers présents :

    --------------- [ Registre / Startup ] ----------------

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
    ISUSPM="C:\Documents and Settings\All Users\Application Data\Macrovision\FLEXnet Connect\6\ISUSPM.exe" -scheduler
    MsnMsgr="C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe" /background
    VMCL=C:\Program Files\vodafone\vmclite\DongleEnumerator.exe
    swg=C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
    H/PC Connection Agent="C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"
    HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\AdobeUpdater=
    <NO NAME>=

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
    avgnt="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    IgfxTray=C:\WINDOWS\system32\igfxtray.exe
    HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
    Persistence=C:\WINDOWS\system32\igfxpers.exe
    RTHDCPL=RTHDCPL.EXE
    Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    CanonSolutionMenu=C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
    CanonMyPrinter=C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
    PWRISOVM.EXE=C:\Program Files\PowerISO\PWRISOVM.EXE
    lxcymon.exe="C:\Program Files\Lexmark 3400 Series\lxcymon.exe"
    EzPrint="C:\Program Files\Lexmark 3400 Series\ezprint.exe"
    FaxCenterServer="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    LXCYCATS=rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
    Installed=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
    Installed=1
    NoChange=1
    <NO NAME>=
    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
    Installed=1
    <NO NAME>=

    --------------- [ Registre / Mountpoint2 ] ----------------

    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ba68766-128e-11dd-990c-9b6fd0592f2c}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4ba68767-128e-11dd-990c-9b6fd0592f2c}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4bf6f536-2290-11dd-9930-0013a90254e8}\Shell\AutoRun\command
    Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e594caee-114a-11dd-9903-a459572dd525}\Shell\AutoRun\command

    --------------- [ Nettoyage des disques ] ----------------

    Supprimé ! - [02/12/2008 07:57][--a------] C:\WINDOWS\system32\tmp.reg
    Supprimé ! - [02/12/2008 07:57][--a------] C:\WINDOWS\system32\tmp.txt

    --------------- [ Resumé ] ----------------

    -> /!\ Le resultat doit etre interprété par un spécialiste /!\

    [23/04/2008 15:30][--a------] C:\AUTOEXEC.BAT
    [23/04/2008 17:29][-rahs----] C:\NTDETECT.COM
    [04/12/2008 07:45][-rahs----] C:\boot.ini

    --------------- ! Fin du rapport ! ----------------

    Merci beaucoup

    Alain
    0
  21. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Parfait, pense à faire la vaccination aussi ;)
    Ensuite poste un dernier rapport hijackthis stp

    0
  • 1
  • 2