Sujet Précédent Sujet Suivant

Conseil pour nettoyage malware/trojan

Résolu
guille -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
suite à une infection de mon pc (redirection google, ralentissements régulierement ...), j'ai consulté le forum et suivi quelques conseils.
J'ai eu du mal à exécuter Malwarebytes car "l'intru" me bloquait systématiquement, mais c'est maintenant fait. j'ai également fait un SDFix en mode sans échec, scan avec avira antivir et cCleaner.
Je pense cependant que j'ai un peu tout dans le désordre c'est la raison pour laquelle je me lance et poste dans ce forum.
Par exemple je veut lancer Malwarebytes ce matin mais il ne s'ouvre pas alors que dans les processus il apparait, je suis sur qu'il reste des cochonneries qui me bloque...
Pouvez vous reprendre avec moi les manip ?
Merci d'avance
guille
A voir également:

70 réponses

Précédent
Réponse 21 / 70
amaguis Messages postés 43 Statut Membre
 
j'ai téléchargé Combofix et suis plongé dans le tuto pour installation console récup
0
Réponse 22 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
prend ton temps ! ^^

il n'y a pas le feu au lac ... :p
0
Réponse 23 / 70
amaguis Messages postés 43 Statut Membre
 
OK

voici donc le rapport Combofix

ps, j'ai été obligé de désinstaller mon firewall sunbelt, j'ai activé le parefeu windows dans l'attente d'une autre installation

ComboFix 08-12-07.01 - mercier 2008-12-08 14:39:13.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.183 [GMT 1:00]
Lancé depuis: c:\documents and settings\mercier\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\mercier\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Cache
c:\windows\system32\TDSSvyyy.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.

2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\program files\Apple Software Update
2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Apple
2008-11-27 09:27 . 2008-12-08 10:05 <REP> d-------- c:\windows\ERUNT
2008-11-26 18:19 . 2008-11-26 18:19 <REP> d-------- c:\documents and settings\mercier\Application Data\Malwarebytes
2008-11-26 18:14 . 2008-12-05 15:59 <REP> d-------- c:\program files\GGabMB
2008-11-26 18:14 . 2008-12-03 19:54 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 18:14 . 2008-12-03 19:54 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-26 15:57 . 2008-11-26 15:57 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\Spyware Terminator
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage réseau
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage d'impression
2008-11-26 15:49 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Modèles
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Mes documents
2008-11-26 15:49 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU.000\Menu Démarrer
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Favoris
2008-11-26 15:49 . 2008-12-05 18:30 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Bureau
2008-11-26 15:49 . 2007-11-20 14:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\ntr
2008-11-26 15:49 . 2008-11-26 15:49 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000
2008-11-26 12:52 . 2008-12-08 14:49 1,189,920 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-26 12:52 . 2008-12-08 14:48 35,360 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2008-11-26 12:52 . 2008-12-08 14:43 15,968 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-26 12:52 . 2008-12-08 14:43 6,356 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2008-11-26 11:06 . 2008-12-08 10:08 <REP> d-------- c:\program files\GGabhjt
2008-11-25 18:13 . 2008-11-26 15:57 <REP> d-------- c:\program files\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:18 <REP> d-------- c:\documents and settings\mercier\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:19 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-11-25 18:13 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-11-25 17:05 . 2008-11-25 17:05 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2008-11-25 12:41 . 2008-11-25 13:52 2,372,472 --a------ C:\mbam-setupé.exe
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage réseau
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage d'impression
2008-11-25 12:40 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Modèles
2008-11-25 12:40 . 2008-11-25 13:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Mes documents
2008-11-25 12:40 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU\Menu Démarrer
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Favoris
2008-11-25 12:40 . 2008-11-25 13:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Bureau
2008-11-25 12:40 . 2008-11-25 12:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\program files\Avira
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\program files\MediaJoin
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\{27ED786F-D773-47F8-93EB-8A249414AD30}
2008-11-10 12:50 . 2008-11-10 12:50 <REP> d-------- c:\documents and settings\mercier\Application Data\Seven Zip

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 12:18 --------- d-----w c:\program files\CCleaner
2008-12-08 12:03 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-12-05 14:56 --------- d-----w c:\program files\QuickTime
2008-12-05 14:56 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer
2008-12-05 07:57 3,703 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-12-02 15:38 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-27 10:21 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-27 10:21 --------- d-----w c:\documents and settings\mercier\Application Data\AdobeUM
2008-11-26 11:15 --------- d-----w c:\program files\SpywareGuard
2008-11-26 11:13 --------- d-----w c:\program files\Lavasoft
2008-11-26 11:13 --------- d-----w c:\program files\Kaspersky Lab
2008-11-26 11:13 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-11-26 11:10 --------- d-----w c:\program files\Google
2008-11-26 11:07 --------- d-----w c:\program files\a-squared Free
2008-11-26 11:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2004-05-26 07:21 11,025,471 -c--a-w c:\program files\avg70t_245.exe
2003-06-21 14:33 13,951,882 ----a-w c:\program files\ClassicPhoneTools_FR.exe
2003-06-21 11:56 73,175,128 ----a-w c:\program files\b4p_fra_xp.exe
2003-06-07 08:40 2,029,124 ----a-w c:\program files\i-minitelPC1-6.exe
2005-04-28 13:32 56 --sha-w c:\windows\system32\BF79CECD7E.sys
2005-04-28 13:32 1,890 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-05-26 180269]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\GGabMB\mbam.exe" [2008-12-03 1265296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\wdmnglg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpyKiller"=c:\program files\SpyKiller\spykiller.exe /startup
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"GhostStartTrayApp"=c:\program files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
"AcctMgr"=c:\program files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
"B'sCLiP"=c:\progra~1\B'SCLI~1\Win2K\BSCLIP.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=c:\program files\Java\j2re1.4.2_04\bin\jusched.exe
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"gah95on6"=c:\windows\System32\gah95on6.exe
"Media Pass"=c:\program files\Media Pass\MediaPassK.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Imoresea\\imointer\\iminet.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2004-06-08 9344]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2005-05-20 10995]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2004-06-08 390400]
S3 DFSTR2K;Base USB Mass Storage Driver;c:\windows\system32\DRIVERS\DFSTOR2K.SYS [2004-05-26 38037]
S3 oltcmdm;Olitec Comm driver;c:\windows\system32\DRIVERS\oltcmdm.sys [2004-06-30 59728]
.
Contenu du dossier 'Tâches planifiées'

2008-12-07 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2008-07-30 13:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = "www.free.fr"
mSearch Bar = ""
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search
IE: Backward Links
IE: Cached Snapshot of Page
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Similar Pages
TCP: {14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B} = 212.27.53.252,212.27.54.252

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini
c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FireFox -: Profile - c:\documents and settings\mercier\Application Data\Mozilla\Firefox\Profiles\uv8y342r.default\
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJPI142_04.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 14:47:48
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2008-12-08 14:51:51 - La machine a redémarré [mercier]
ComboFix-quarantined-files.txt 2008-12-08 13:51:44

Avant-CF: 9 577 979 904 octets libres
Après-CF: 9,496,731,648 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
multi(0)disk(0)rdisk(0)partition(1)\XP="Microsoft Windows XP Professionnel" /fastdetect

218 --- E O F --- 2008-11-25 10:05:46
0
Réponse 24 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ...

pas mal de chose à voir encore ....

1- Refais un coup de CCleaner ( registre compris )

2- Télécharge et installe le logiciel HijackThis :

ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

*- Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34),
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

* - !! Déconnecte toi et ferme toutes tes applications en cours !!

Clique sur le raccourci du bureau pour lancer le prg :
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile"

---> Poste le rapport généré pour analyse ...

3- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Installe le soft sur ton bureau ( et pas ailleurs! ) .

!! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

Utilisation ---> option 1 / Recherche :
Double-clique sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 70
amaguis Messages postés 43 Statut Membre
 
OK voila le rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:16, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\GGabhjt\GGabhjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ""
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "www.free.fr"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\GGabMB\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer = 212.27.53.252,212.27.54.252
O20 - AppInit_DLLs: C:\WINDOWS\System32\wdmnglg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O24 - Desktop Component 0: Ma page d'accueil - www.free.fr
0
Réponse 26 / 70
amaguis Messages postés 43 Statut Membre
 
Et le smitFraudfix:

SmitFraudFix v2.381

Rapport fait à 16:16:42,56, 08/12/2008
Executé à partir de C:\Documents and Settings\mercier\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mercier

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mercier\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\mercier\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\mercier\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="www.free.fr"
"SubscribedURL"="www.free.fr"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\System32\\wdmnglg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer=212.27.53.252,212.27.54.252

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 27 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ... on va procéder autrement ...

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpyKiller"=-c:\program files\SpyKiller\spykiller.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"gah95on6"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Media Pass"=-

File::
c:\program files\SpyKiller\spykiller.exe
c:\windows\System32\gah95on6.exe
c:\program files\Media Pass\MediaPassK.exe

Folder::
c:\program files\SpyKiller
c:\program files\Media Pass

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport HijackThis pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 28 / 70
amaguis Messages postés 43 Statut Membre
 
Voilà les 2 rapports l'un à la suite de l'autre:

ComboFix 08-12-07.01 - mercier 2008-12-08 17:04:21.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.202 [GMT 1:00]
Lancé depuis: c:\documents and settings\mercier\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\mercier\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\program files\Media Pass\MediaPassK.exe
c:\program files\SpyKiller\spykiller.exe
c:\windows\System32\gah95on6.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.

2008-12-08 16:16 . 2008-12-08 16:16 1,772 --a------ c:\windows\system32\tmp.reg
2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\program files\Apple Software Update
2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Apple
2008-11-27 09:27 . 2008-12-08 10:05 <REP> d-------- c:\windows\ERUNT
2008-11-26 18:19 . 2008-11-26 18:19 <REP> d-------- c:\documents and settings\mercier\Application Data\Malwarebytes
2008-11-26 18:14 . 2008-12-05 15:59 <REP> d-------- c:\program files\GGabMB
2008-11-26 18:14 . 2008-12-03 19:54 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 18:14 . 2008-12-03 19:54 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-26 15:57 . 2008-11-26 15:57 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\Spyware Terminator
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage réseau
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage d'impression
2008-11-26 15:49 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Modèles
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Mes documents
2008-11-26 15:49 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU.000\Menu Démarrer
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Favoris
2008-11-26 15:49 . 2008-12-05 18:30 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Bureau
2008-11-26 15:49 . 2007-11-20 14:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\ntr
2008-11-26 15:49 . 2008-11-26 15:49 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000
2008-11-26 12:52 . 2008-12-08 17:08 1,384,480 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-26 12:52 . 2008-12-08 17:07 40,480 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2008-11-26 12:52 . 2008-12-08 14:43 15,968 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-26 12:52 . 2008-12-08 14:43 6,356 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2008-11-26 11:06 . 2008-12-08 16:09 <REP> d-------- c:\program files\GGabhjt
2008-11-25 18:13 . 2008-11-26 15:57 <REP> d-------- c:\program files\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:18 <REP> d-------- c:\documents and settings\mercier\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:19 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-11-25 18:13 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-11-25 17:05 . 2008-11-25 17:05 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2008-11-25 12:41 . 2008-11-25 13:52 2,372,472 --a------ C:\mbam-setupé.exe
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage réseau
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage d'impression
2008-11-25 12:40 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Modèles
2008-11-25 12:40 . 2008-11-25 13:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Mes documents
2008-11-25 12:40 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU\Menu Démarrer
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Favoris
2008-11-25 12:40 . 2008-11-25 13:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Bureau
2008-11-25 12:40 . 2008-11-25 12:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\program files\Avira
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\program files\MediaJoin
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\{27ED786F-D773-47F8-93EB-8A249414AD30}
2008-11-10 12:50 . 2008-11-10 12:50 <REP> d-------- c:\documents and settings\mercier\Application Data\Seven Zip

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 12:18 --------- d-----w c:\program files\CCleaner
2008-12-08 12:03 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-12-05 14:56 --------- d-----w c:\program files\QuickTime
2008-12-05 14:56 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer
2008-12-05 07:57 3,703 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-12-02 15:38 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-27 10:21 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-27 10:21 --------- d-----w c:\documents and settings\mercier\Application Data\AdobeUM
2008-11-26 11:15 --------- d-----w c:\program files\SpywareGuard
2008-11-26 11:13 --------- d-----w c:\program files\Lavasoft
2008-11-26 11:13 --------- d-----w c:\program files\Kaspersky Lab
2008-11-26 11:13 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-11-26 11:10 --------- d-----w c:\program files\Google
2008-11-26 11:07 --------- d-----w c:\program files\a-squared Free
2008-11-26 11:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2004-05-26 07:21 11,025,471 -c--a-w c:\program files\avg70t_245.exe
2003-06-21 14:33 13,951,882 ----a-w c:\program files\ClassicPhoneTools_FR.exe
2003-06-21 11:56 73,175,128 ----a-w c:\program files\b4p_fra_xp.exe
2003-06-07 08:40 2,029,124 ----a-w c:\program files\i-minitelPC1-6.exe
2005-04-28 13:32 56 --sha-w c:\windows\system32\BF79CECD7E.sys
2005-04-28 13:32 1,890 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-05-26 180269]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\GGabMB\mbam.exe" [2008-12-03 1265296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpyKiller"=c:\program files\SpyKiller\spykiller.exe /startup
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"GhostStartTrayApp"=c:\program files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
"AcctMgr"=c:\program files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
"B'sCLiP"=c:\progra~1\B'SCLI~1\Win2K\BSCLIP.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=c:\program files\Java\j2re1.4.2_04\bin\jusched.exe
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
"gah95on6"=c:\windows\System32\gah95on6.exe
"Media Pass"=c:\program files\Media Pass\MediaPassK.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Imoresea\\imointer\\iminet.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2004-06-08 9344]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2005-05-20 10995]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2004-06-08 390400]
S3 DFSTR2K;Base USB Mass Storage Driver;c:\windows\system32\DRIVERS\DFSTOR2K.SYS [2004-05-26 38037]
S3 oltcmdm;Olitec Comm driver;c:\windows\system32\DRIVERS\oltcmdm.sys [2004-06-30 59728]
.
Contenu du dossier 'Tâches planifiées'

2008-12-07 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2008-07-30 13:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = "www.free.fr"
mSearch Bar = ""
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search
IE: Backward Links
IE: Cached Snapshot of Page
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Similar Pages
TCP: {14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B} = 212.27.53.252,212.27.54.252

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini
c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FireFox -: Profile - c:\documents and settings\mercier\Application Data\Mozilla\Firefox\Profiles\uv8y342r.default\
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJPI142_04.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 17:07:51
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-12-08 17:10:05
ComboFix-quarantined-files.txt 2008-12-08 16:09:51
ComboFix2.txt 2008-12-08 13:51:54

Avant-CF: 9 556 344 832 octets libres
Après-CF: 9,544,638,464 octets libres

195 --- E O F --- 2008-11-25 10:05:46

____________________________________________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:09, on 08/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\GGabhjt\GGabhjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ""
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "www.free.fr"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\GGabMB\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O24 - Desktop Component 0: Ma page d'accueil - www.free.fr
0
Réponse 29 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
bon ....cela n'a pas fonctionné entièrement ....

reprends ainsi :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpyKiller"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"gah95on6"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Media Pass"=-

File::
c:\program files\SpyKiller\spykiller.exe
c:\windows\System32\gah95on6.exe
c:\program files\Media Pass\MediaPassK.exe

Folder::
c:\program files\SpyKiller
c:\program files\Media Pass

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 30 / 70
amaguis Messages postés 43 Statut Membre
 
Voici le nouveau rapport Combofix :

ComboFix 08-12-07.01 - mercier 2008-12-08 17:37:52.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.171 [GMT 1:00]
Lancé depuis: c:\documents and settings\mercier\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\mercier\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\program files\Media Pass\MediaPassK.exe
c:\program files\SpyKiller\spykiller.exe
c:\windows\System32\gah95on6.exe
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.

2008-12-08 16:16 . 2008-12-08 16:16 1,772 --a------ c:\windows\system32\tmp.reg
2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\program files\Apple Software Update
2008-12-02 13:56 . 2008-12-02 13:56 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Apple
2008-11-27 09:27 . 2008-12-08 10:05 <REP> d-------- c:\windows\ERUNT
2008-11-26 18:19 . 2008-11-26 18:19 <REP> d-------- c:\documents and settings\mercier\Application Data\Malwarebytes
2008-11-26 18:14 . 2008-12-05 15:59 <REP> d-------- c:\program files\GGabMB
2008-11-26 18:14 . 2008-12-03 19:54 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-26 18:14 . 2008-12-03 19:54 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-26 15:57 . 2008-11-26 15:57 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\Spyware Terminator
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage réseau
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Voisinage d'impression
2008-11-26 15:49 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU.000\Modèles
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Mes documents
2008-11-26 15:49 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU.000\Menu Démarrer
2008-11-26 15:49 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Favoris
2008-11-26 15:49 . 2008-12-05 18:30 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Bureau
2008-11-26 15:49 . 2007-11-20 14:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000\Application Data\ntr
2008-11-26 15:49 . 2008-11-26 15:49 <REP> d-------- c:\documents and settings\Administrateur.BUREAU.000
2008-11-26 12:52 . 2008-12-08 17:41 1,466,400 --ahs---- c:\windows\system32\drivers\fidbox.dat
2008-11-26 12:52 . 2008-12-08 17:41 43,552 --ahs---- c:\windows\system32\drivers\fidbox2.dat
2008-11-26 12:52 . 2008-12-08 14:43 15,968 --ahs---- c:\windows\system32\drivers\fidbox.idx
2008-11-26 12:52 . 2008-12-08 14:43 6,356 --ahs---- c:\windows\system32\drivers\fidbox2.idx
2008-11-26 11:06 . 2008-12-08 17:19 <REP> d-------- c:\program files\GGabhjt
2008-11-25 18:13 . 2008-11-26 15:57 <REP> d-------- c:\program files\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:18 <REP> d-------- c:\documents and settings\mercier\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-12-05 15:19 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Spyware Terminator
2008-11-25 18:13 . 2008-11-25 18:13 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-11-25 17:05 . 2008-11-25 17:05 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2008-11-25 12:41 . 2008-11-25 13:52 2,372,472 --a------ C:\mbam-setupé.exe
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage réseau
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Voisinage d'impression
2008-11-25 12:40 . 2004-05-17 12:25 <REP> d--h----- c:\documents and settings\Administrateur.BUREAU\Modèles
2008-11-25 12:40 . 2008-11-25 13:41 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Mes documents
2008-11-25 12:40 . 2004-05-17 13:14 <REP> dr------- c:\documents and settings\Administrateur.BUREAU\Menu Démarrer
2008-11-25 12:40 . 2004-05-17 13:14 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Favoris
2008-11-25 12:40 . 2008-11-25 13:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU\Bureau
2008-11-25 12:40 . 2008-11-25 12:40 <REP> d-------- c:\documents and settings\Administrateur.BUREAU
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\program files\Avira
2008-11-25 10:23 . 2008-11-25 10:23 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\Avira
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\program files\MediaJoin
2008-11-10 12:51 . 2008-11-10 12:51 <REP> d-------- c:\documents and settings\All Users.WINDOWS\Application Data\{27ED786F-D773-47F8-93EB-8A249414AD30}
2008-11-10 12:50 . 2008-11-10 12:50 <REP> d-------- c:\documents and settings\mercier\Application Data\Seven Zip

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 12:18 --------- d-----w c:\program files\CCleaner
2008-12-08 12:03 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-12-05 14:56 --------- d-----w c:\program files\QuickTime
2008-12-05 14:56 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Apple Computer
2008-12-05 07:57 3,703 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-12-02 15:38 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-27 10:21 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-27 10:21 --------- d-----w c:\documents and settings\mercier\Application Data\AdobeUM
2008-11-26 11:15 --------- d-----w c:\program files\SpywareGuard
2008-11-26 11:13 --------- d-----w c:\program files\Lavasoft
2008-11-26 11:13 --------- d-----w c:\program files\Kaspersky Lab
2008-11-26 11:13 --------- d-----w c:\documents and settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-11-26 11:10 --------- d-----w c:\program files\Google
2008-11-26 11:07 --------- d-----w c:\program files\a-squared Free
2008-11-26 11:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:39 1,846,144 ----a-w c:\windows\system32\win32k.sys
2004-05-26 07:21 11,025,471 -c--a-w c:\program files\avg70t_245.exe
2003-06-21 14:33 13,951,882 ----a-w c:\program files\ClassicPhoneTools_FR.exe
2003-06-21 11:56 73,175,128 ----a-w c:\program files\b4p_fra_xp.exe
2003-06-07 08:40 2,029,124 ----a-w c:\program files\i-minitelPC1-6.exe
2005-04-28 13:32 56 --sha-w c:\windows\system32\BF79CECD7E.sys
2005-04-28 13:32 1,890 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-05-26 180269]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\GGabMB\mbam.exe" [2008-12-03 1265296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-20 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=c:\windows\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"GhostStartTrayApp"=c:\program files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
"AcctMgr"=c:\program files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
"B'sCLiP"=c:\progra~1\B'SCLI~1\Win2K\BSCLIP.exe
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=c:\program files\Java\j2re1.4.2_04\bin\jusched.exe
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Imoresea\\imointer\\iminet.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [2004-06-08 9344]
R1 Klmc;Klmc;c:\windows\system32\drivers\klmc.sys [2005-05-20 10995]
R2 BsUDF;B.H.A UDF Filesystem;c:\windows\system32\drivers\BsUDF.sys [2004-06-08 390400]
S3 DFSTR2K;Base USB Mass Storage Driver;c:\windows\system32\DRIVERS\DFSTOR2K.SYS [2004-05-26 38037]
S3 oltcmdm;Olitec Comm driver;c:\windows\system32\DRIVERS\oltcmdm.sys [2004-06-30 59728]
.
Contenu du dossier 'Tâches planifiées'

2008-12-07 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2008-07-30 13:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.free.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = "www.free.fr"
mSearch Bar = ""
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Google Search
IE: Backward Links
IE: Cached Snapshot of Page
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Similar Pages
TCP: {14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B} = 212.27.53.252,212.27.54.252

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\oscan81.ocx_x - c:\windows\bdoscandellang.ini
c:\windows\bdoscandel.exe
c:\windows\Downloaded Program Files\live.ini
c:\windows\Downloaded Program Files\scanoptions.tsi
c:\windows\Downloaded Program Files\lang.ini
c:\windows\Downloaded Program Files\ipsupd.dll
c:\windows\Downloaded Program Files\bdupd.dll
c:\windows\Downloaded Program Files\libfn.dll
c:\windows\Downloaded Program Files\bdcore.dll
c:\windows\Downloaded Program Files\oscan8.ocx
O16 -: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499}
hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
c:\windows\Downloaded Program Files\oscan8.inf
FireFox -: Profile - c:\documents and settings\mercier\Application Data\Mozilla\Firefox\Profiles\uv8y342r.default\
FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\program files\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPJPI142_04.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_04\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 17:41:15
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-12-08 17:43:30
ComboFix-quarantined-files.txt 2008-12-08 16:43:16
ComboFix2.txt 2008-12-08 16:10:10
ComboFix3.txt 2008-12-08 13:51:54

Avant-CF: 9 520 377 856 octets libres
Après-CF: 9,510,240,256 octets libres

193 --- E O F --- 2008-11-25 10:05:46
0
Réponse 31 / 70
amaguis Messages postés 43 Statut Membre
 
Je ne sais pas si cela peut t'être utile mais sur mon disque D:/ (disque de données) j'ai un tas de dossier dont les noms sont une suite de chiffres ou lettres qui ont été créés depuis quelques mois et cette quantité augmente régulièrement me polluant le disque D:/

En fait je viens de me rendre compte qu'il s'agit de dossier de "mises à jour" windows mais c'est bizarre qu'ils se trouvent dans D:/ mais bon ...
0
Réponse 32 / 70
amaguis Messages postés 43 Statut Membre
 
Il faut que j'aille récupérer mes petits, je ferais les manips que tu m'aura indiquées en réponse dés demain matin, merci encore pour ton aide précieuse
Guille
0
Réponse 33 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
dis moi , avant de lancer la manipe , tu désactives bien ton AV et le pare feu ! ;)

cela ne fonctionne toujours pas .... changeons de tactique :

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.)

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0
Réponse 34 / 70
amaguis Messages postés 43 Statut Membre
 
Salut,

Oui je désactive antivir en "fermant le parapluie" et parefeu windows dans centre sécurité avant chaque manip (après m'être déconnecté)

Je te poste les rapports suivants sous peu
0
Réponse 35 / 70
amaguis Messages postés 43 Statut Membre
 
Voici le log.txt

Logfile of random's system information tool 1.04 (written by random/random)
Run by mercier at 2008-12-09 08:37:30
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 9 GB (46%) free of 20 GB
Total RAM: 479 MB (39% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:38:00, on 09/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\mercier\Bureau\RSIT.exe
C:\Program Files\trend micro\mercier.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.free.fr/freebox/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ""
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "www.free.fr"
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\GGabMB\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{14DB3A8E-3B90-4F92-83B5-6C3DECF5C89B}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O24 - Desktop Component 0: Ma page d'accueil - www.free.fr
0
Réponse 36 / 70
amaguis Messages postés 43 Statut Membre
 
Et le info.txt

info.txt logfile of random's system information tool 1.04 2008-12-09 08:38:08

======Uninstall list======

-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 9 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\FlashUtil9b.exe -uninstallDelete
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop Elements-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Adobe\Photoshop Elements\Uninst.isu" -c"C:\Program Files\Adobe\Photoshop Elements\Uninst.dll"
Adobe Reader 7.0.9 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70900000002}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Applian FLV Player-->"C:\WINDOWS\Applian FLV Player\uninstall.exe" "/U:C:\Program Files\FLV Player\Uninstall\uninstall.xml"
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Azureus Vuze-->C:\Program Files\Azureus\uninstall.exe
BHA B's Recorder GOLD BASIC 7.10-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{36D00AE6-69DE-4087-A1A9-84ADD10E5530}\setup.exe" -l0x40c
B's CLiP-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{19C64880-BBCA-11D4-9EEE-0004ACDDDB3B}\setup.exe" -l0x40c
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
Ciel eSauvegarde V2-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CBF7A3DA-880B-4747-AB57-D74A4EBAC69E}\install.exe" UNINSTALL
Correctif pour Windows XP (KB952287)-->"C:\WINDOWS\$NtUninstallKB952287$\spuninst\spuninst.exe"
DivX 5.0.2 Pro Bundle-->C:\WINDOWS\unvise32.exe C:\Program Files\DivX\uninstal.log
DivX Content Uploader-->C:\Program Files\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Pro Trial-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
DivXG400-->"C:\WINDOWS\IPUI_DivXG400.exe" /U /D
Documents To Go-->MsiExec.exe /X{D6FFC3B5-0CE1-4566-801D-3F9D8F000652}
DVD Decoder Pak for Windows XP-->MsiExec.exe /X{92C5DB3D-9D6F-4324-BB11-57825F4C2635}
eMule-->"C:\Program Files\eMule\Uninstall.exe"
EVEREST Home Edition v2.20-->"C:\Program Files\Lavalys\EVEREST Home Edition\unins000.exe"
General USB Card Reader-->C:\WINDOWS\ISUNINST.EXE -fC:\PROGRA~1\MEDIAR~1\Dfusbpdr.ISU -cC:\PROGRA~1\MEDIAR~1\ONUNINST.DLL
GPL Ghostscript 8.15-->C:\gs\uninstgs.exe "C:\gs\gs8.15\uninstal.txt"
GPL Ghostscript Fonts-->C:\gs\uninstgs.exe "C:\gs\fonts\uninstal.txt"
HijackThis 2.0.2-->"C:\Program Files\GGabhjt\HijackThis.exe" /uninstall
hp print screen utility-->C:\Program Files\Hewlett-Packard\hp print screen utility\UnInstall\prnunins.exe
Imovision Client 8.6-->C:\WINDOWS\unin040c.exe -fC:\DeIsL2.isu -cC:\_ISREG32.DLL
Imovision Client 9.09-->C:\WINDOWS\unin040c.exe -fC:\DeIsL3.isu -cC:\_ISREG32.DLL
Java 2 Runtime Environment, SE v1.4.2_04-->MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142040}
Lecteur Windows Media 11-->"C:\Program Files\Windows Media Player\Setup_wm.exe" /Uninstall
Macromedia Dreamweaver 2-->C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Macromedia\Dreamweaver 2\Uninst.isu"
Malwarebytes' Anti-Malware-->"C:\Program Files\GGabMB\unins000.exe"
MediaJoin-->"C:\Documents and Settings\All Users.WINDOWS\Application Data\{27ED786F-D773-47F8-93EB-8A249414AD30}\setup_mj.exe" REMOVE=TRUE MODIFY=FALSE
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Microsoft Tool Web Package:WntIpcfg.exe-->MsiExec.exe /X{EA82FF50-E258-4DFE-839B-8F26A01A34A7}
Mise à jour de sécurité pour Lecteur Windows Media 11 (KB954154)-->"C:\WINDOWS\$NtUninstallKB954154_WM11$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB950759)-->"C:\WINDOWS\ie7updates\KB950759-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB953838)-->"C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows Internet Explorer 7 (KB956390)-->"C:\WINDOWS\ie7updates\KB956390-IE7\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB938464)-->"C:\WINDOWS\$NtUninstallKB938464$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB942831)-->"C:\WINDOWS\$NtUninstallKB942831$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB946648)-->"C:\WINDOWS\$NtUninstallKB946648$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950760)-->"C:\WINDOWS\$NtUninstallKB950760$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950762)-->"C:\WINDOWS\$NtUninstallKB950762$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB950974)-->"C:\WINDOWS\$NtUninstallKB950974$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951066)-->"C:\WINDOWS\$NtUninstallKB951066$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951376-v2)-->"C:\WINDOWS\$NtUninstallKB951376-v2$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951698)-->"C:\WINDOWS\$NtUninstallKB951698$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB951748)-->"C:\WINDOWS\$NtUninstallKB951748$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB952954)-->"C:\WINDOWS\$NtUninstallKB952954$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953155)-->"C:\WINDOWS\$NtUninstallKB953155$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB953839)-->"C:\WINDOWS\$NtUninstallKB953839$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB954211)-->"C:\WINDOWS\$NtUninstallKB954211$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB955069)-->"C:\WINDOWS\$NtUninstallKB955069$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956391)-->"C:\WINDOWS\$NtUninstallKB956391$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956803)-->"C:\WINDOWS\$NtUninstallKB956803$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB956841)-->"C:\WINDOWS\$NtUninstallKB956841$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957095)-->"C:\WINDOWS\$NtUninstallKB957095$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB957097)-->"C:\WINDOWS\$NtUninstallKB957097$\spuninst\spuninst.exe"
Mise à jour de sécurité pour Windows XP (KB958644)-->"C:\WINDOWS\$NtUninstallKB958644$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB932823-v3)-->"C:\WINDOWS\$NtUninstallKB932823-v3$\spuninst\spuninst.exe"
Mise à jour pour Windows XP (KB951072-v2)-->"C:\WINDOWS\$NtUninstallKB951072-v2$\spuninst\spuninst.exe"
Mozilla Firefox (3.0.4)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (2.0.0.6)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB927978)-->MsiExec.exe /I{37477865-A3F1-4772-AD43-AAFC6BCFF99F}
MSXML 4.0 SP2 (KB936181)-->MsiExec.exe /I{C04E32E0-0416-434D-AFB9-6969D703A9EF}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
OpenOffice.org 2.2-->MsiExec.exe /I{419805D6-75A0-4981-BC8F-9FF97EC6B03A}
Paradox 10 Runtime-->MsiExec.exe /I{14A4E477-1D83-11D5-B70B-00902713F081}
ProSavageDDR and Utilities-->C:\PROGRA~1\S3Inc\P4M266\s3setvga.exe -s -fC:\PROGRA~1\S3Inc\P4M266\P4M266.uns
RealPlayer-->C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
S3Display-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Display'
S3Gamma2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Gamma2'
S3Info2-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Info2'
S3Overlay-->s3uninst.exe -reg 5 'HKLM\Software\S3\S3Uninst\S3Overlay'
Security Update pour Microsoft .NET Framework 2.0 (KB928365)-->C:\WINDOWS\system32\msiexec.exe /promptrestart /uninstall {8056AC9E-49C5-4375-9ADE-B2F862C9DF51} /package {7131646D-CD3C-40F4-97B9-CD9E4E6262EF}
Spybot - Search & Destroy-->"C:\Program Files\Spybot - Search & Destroy\unins001.exe"
Spyware Terminator-->"C:\Program Files\Spyware Terminator\unins000.exe"
VideoLAN VLC media player 0.8.4a-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Media Format 11 runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll

======Security center information======

AV: Avira AntiVir PersonalEdition

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 7 Stepping 1, AuthenticAMD
"PROCESSOR_REVISION"=0701
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO

-----------------EOF-----------------
0
Réponse 37 / 70
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

fais ceci maintenant :

1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 

:Processes
explorer.exe

:Services
klif
klmc

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm] 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys] 

:Files
C:\WINDOWS\System32\drivers\klmc.sys 

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip

!!Déconnecte toi et ferme tes applications en cours !!

Dézippe (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau .

Ouvre le dossier Genproc :
double-clique sur GenProc.bat et laisse faire ...

Une fois terminé, poste le contenu du rapport qui s'ouvre ...

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

0
Réponse 38 / 70
amaguis Messages postés 43 Statut Membre
 
! Déconnecte toi et ferme toutes tes applications en cours !

on est bien d'accord quand tu me dis de faire celà, je ne désactive pas mes protections, je ne les désactive que lorsque tu le précises ok?
0
Réponse 39 / 70
amaguis Messages postés 43 Statut Membre
 
Voici le log de OtmoveIt, je m'occupe de Genproc maintenant.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Unable to stop service klif .
Unable to stop service klmc .
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm\\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys\\ deleted successfully.
========== FILES ==========
C:\WINDOWS\System32\drivers\klmc.sys moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12092008_090207
0
Réponse 40 / 70
amaguis Messages postés 43 Statut Membre
 
Voici le log de GenProc:

Rapport GenProc 2.280 [1] -09/12/2008- Windows XP

Il est impératif de désactiver la protection résidente SpywareTerminator pendant l'ensemble des manipulations qui vont suivre. Aide SpywareTerminator : http://ww11.genproc.com/spyware-terminator/spyware_terminator.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- Toolbar-S&D https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 (Team IDN) sur ton Bureau.
Installe simplement le programme en exécutant le fichier téléchargé.

Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; pour retrouver le rapport, clique sur le raccourci "GenProc" sur ton bureau. Choisis ta session courante *** mercier ***

# Etape 2/

Relance Toolbar-S&D en double-cliquant sur son raccourci situé sur le Bureau.
Tape sur "2" puis valide en appuyant sur "Entrée". Ne ferme pas la fenêtre lors de la suppression.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport C:\TB.txt ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

____________________________________________________________________________________________________________

Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
0

Discussions similaires

supprimer tor.jack android
sabinelouisonbruno -
akaloupile -

4 réponses
Tor.Jack.Malware
Camille -
bazfile -

1 réponse
Meilleure application pour nettoyer IPhone et photos
Berline -
Berline -

3 réponses
je n'arrive pas a supprimer un virus sur mon téléphone
nath340 -
christou -

26 réponses