warning dangerous spyware Résolu

Question

Bonjour,
depuis quelques jours, au lieu de l'arrière plan de mon bureau, j'ai un écran noir avec le message: "warning dangerous spyware....", malgré mon anti virus pctools, spybot search&destroy et ccleaner, je n'arrive pas à m'en débarrasser.
que dois je faire merci d'avance

Jack51 · Answer

fait un scan en ligne

jlpjlp · Answer

slt,


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

jlpjlp · Answer

ok

il y en a quelques un  :(

vire cette tache planifiée   :   bxgejevl.job

en allant dans psote de travail puis

C:\WINDOWS	asks\bxgejevl.job 



_________________________


Télécharge Toolbar-S&D (Team IDN) sur ton Bureau. 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2 

* Lance l'installation du programme en exécutant le fichier téléchargé. 
* Double-clique maintenant sur le raccourci de Toolbar-S&D. 
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée. 
* Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche. 
* Poste le rapport généré. (C:\TB.txt)

jlpjlp · Answer

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée". 
! Ne ferme pas la fenêtre lors de la suppression ! 
Un rapport sera généré, poste son contenu ici. 

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches. 
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..." 
Tape explorer puis valide. 


________________________




Fais un clic droit sur ce lien : (IL-MAFIOSO)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe 
Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, le fix s'exécutera automatiquement. 
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau). 

Laisse-toi guider. Au menu principal, choisis 1 et valides. 
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord) 

Patiente jusqu'au message : 
*** Analyse Termine le ..... *** 
Appuie sur une touche comme demandé, le blocnote va s'ouvrir. 
Copie-colle l'intégralité dans une réponse. Referme le blocnote. 
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

mumu5938 · Answer

il me dit de ne pas dire qui il est

je ne sais pas quoi faire

mumu5938 · Answer

-----------\  ToolBar S&D 1.2.6   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Uniprocessor Free :         Intel(R) Pentium(R) M processor 1.60GHz )
   BIOS : Insyde Software MobilePRO BIOS Version 4.00.00
   USER : ISABELLE ( Administrator )
   BOOT : Normal boot
   Antivirus : PC Tools AntiVirus 5.0.0.22 5.0.0.22 (Activated)
   C:\ (Local Disk) - NTFS - Total:51 Go (Free:21 Go)
   D:\ (CD or DVD)

   "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
   Option : [2] ( 08/12/2008|12:23 )

   -----------\ SUPPRESSION

   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-22-09-59-24
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-11-22-09-59-24.xm_
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\08-12-04-05-25-07.xm_
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\7_wonders_treasures_of_seven16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\about.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\action.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\arcade.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\around_the_world_in_80_days16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\big_city_adventure_sydney16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\buy.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\cards.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\cooking_dash16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\deals.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\download.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\escape_from_the_museum16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\farm_frenzy_216x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\feedback.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\help.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\highlight.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\home_sweet_home_216x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\jewel_quest_316x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\jigsaw.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\kids.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\magic_encyclopedia16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mahjong.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mygames.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\mystery_stories_island_of_hope16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar
atalie_brooks16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar
ewGames.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\oberonconfig.xm_
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\obSearchHistory.dat
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\onload
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\partner.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\popup_off.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\popup_on.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\puzzle.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBarestoring_rhonda16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\search.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\sendafriend.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\sports.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar	he_hidden_object_show16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar	he_pini_society16x16.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar	rial.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\uninstall.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\update.gif
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar\womens_murder_club_fr16x16.gif
   Supprime! - C:\Program Files\GamesBar\Localization-French.ini
   Supprime! - C:\Program Files\GamesBar\Localization2-French.ini
   Supprime! - C:\Program Files\GamesBar\oberontb.dll
   Supprime! - C:\Program Files\GamesBar\OBGet.exe
   Supprime! - C:\Program Files\GamesBar\uninst.exe
   Supprime! - C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\GamesBar
   Supprime! - C:\DOCUME~1\ALLUSE~1\APPLIC~1\GamesBar
   Supprime! - C:\Program Files\GamesBar

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Account.8432          (Retrieved after unexpected restart.)) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar
   (Account.8432          (Retrieved after unexpected restart.)) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

   (LocalService) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\WINDOWS\system32\blank.htm"
   "Search Page"="https://www.google.com/?gws_rd=ssl"
   "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Start Page"="https://www.orange.fr/portail"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Search_URL"="http://www.google.com/toolbar/ie8/sidebar.html"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://lo.st"


   --------------------\  Recherche d'autres infections


   Aucune autre infection trouvée  !


   1 - "C:\ToolBar SD\TB_1.txt" - 08/12/2008|12:01 - Option : [1]
   2 - "C:\ToolBar SD\TB_2.txt" - 08/12/2008|12:25 - Option : [2]

   -----------\  Fin du rapport a 12:25:24,07

mumu5938 · Answer

navilog ne fonctionne pas que faire
merci

jlpjlp · Answer

télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 
déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 


_______________________


puis remets un rapport hijackthis

mumu5938 · Answer

merci je le fas et te tiens au courant

mumu5938 · Answer

voilà: ComboFix 08-12-06.06 - ISABELLE 2008-12-08 13:02:49.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.241 [GMT 1:00] Lancé depuis: c:\documents and settings\ISABELLE\Bureau\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat C:\FLIPART.PIF C:\GETDRIVE.PIF c:\windows\system32\anyxqh.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\juimyubq.dll c:\windows\system32\MabryObj.dll c:\windows\system32\mcrh.tmp c:\windows\system32\msupdte.exe c:\windows\system32 tdll64.exe c:\windows\system32\qyopgooe.dll c:\windows\system32 kudnlnh.dll c:\windows\system32 imvbldw.dll c:\windows\system32\xsqhhr.dll c:\windows\system32\xxyvwTLf.dll c:\windows\system32\ykaeuo.dll ----- BITS: Il y a peut-être des sites infectés ----- hxxp://childhe.com [COLOR=RED] c:\windows\system32\userinit.exe . . . est infecté!![/COLOR] . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BOONTY_GAMES -------\Service_Boonty Games ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 )))))))))))))))))))))))))))))))))))) . 2008-12-08 11:58 . 2008-12-08 12:25 d-------- C:\ToolBar SD 2008-12-08 11:42 . 2008-12-08 11:42 d-------- C: sit 2008-12-08 11:42 . 2008-12-08 11:42 d-------- c:\program files rend micro 2008-12-08 01:29 . 2008-12-08 01:29 d-------- c:\program files\Lavasoft 2008-12-08 01:29 . 2008-12-08 01:29 d-------- c:\documents and settings\All Users\Application Data\Lavasoft 2008-12-08 01:28 . 2008-12-08 01:28 d-------- c:\program files\Fichiers communs\Wise Installation Wizard 2008-12-07 22:51 . c:\documents and settings\Propriétaire\Application Data 2008-12-07 13:35 . 2008-12-07 13:35 d-------- c:\documents and settings\ISABELLE\Application Data\PC Tools 2008-12-07 13:34 . 2008-12-08 12:58 d-------- c:\program files\PC Tools AntiVirus 2008-12-07 13:34 . 2007-12-06 16:51 28,568 --a------ c:\windows\system32\drivers\AVHook.sys 2008-12-07 13:34 . 2007-12-06 16:51 21,912 --a------ c:\windows\system32\drivers\AVRec.sys 2008-12-07 13:34 . 2008-02-12 11:44 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys 2008-12-06 20:59 . 2008-12-06 21:02 d-------- c:\program files\CCleaner 2008-12-06 00:56 . 2008-12-06 00:56 d-------- c:\documents and settings\All Users\Application Data\TheRace_dev 2008-12-06 00:42 . 2008-12-06 00:42 d-------- c:\program files\Fichiers communs\SWF Studio 2008-12-05 23:28 . 2008-12-05 23:28 d-------- c:\documents and settings\ISABELLE\Application Data\iWin 2008-12-05 23:28 . 2008-12-05 23:28 d-------- c:\documents and settings\All Users\Application Data\iWin 2008-12-05 22:42 . 2008-12-05 22:42 d-------- c:\documents and settings\All Users\Application Data\Gogii 2008-12-05 22:28 . 2008-12-05 22:28 d-------- c:\documents and settings\All Users\Application Data\Intenium 2008-12-04 23:49 . 2008-12-04 23:49 d-------- c:\documents and settings\LocalService\Application Data\PCToolsSpamMonitorPlus 2008-12-04 23:49 . 2008-12-04 23:49 d-------- c:\documents and settings\LocalService\Application Data\PCToolsFirewallPlus 2008-12-04 19:55 . 2008-12-04 19:55 d--h----- c:\windows\PIF 2008-12-04 00:40 . 2008-12-04 00:40 120 ---hs---- c:\windows\system32\actaegdg.ini 2008-12-03 04:12 . 2008-12-06 00:39 d-------- c:\documents and settings\All Users\Application Data\Playrix Entertainment 2008-12-02 19:19 . 2008-12-02 19:19 120 ---hs---- c:\windows\system32\hnlndukr.ini 2008-12-02 12:44 . 2008-12-02 12:44 d-------- c:\documents and settings\ISABELLE\Application Data\PCToolsFirewallPlus 2008-12-02 12:43 . 2008-12-02 12:43 d-------- c:\documents and settings\ISABELLE\Application Data\PCToolsSpamMonitorPlus 2008-12-02 12:35 . 2008-12-07 13:34 d-------- c:\documents and settings\All Users\Application Data\PC Tools 2008-12-02 08:54 . 2008-12-02 08:54 d-------- c:\documents and settings\ISABELLE\Application Data\Twain 2008-12-01 23:27 . 2008-12-01 23:27 d-------- c:\documents and settings\ISABELLE\Application Data\Games 2008-12-01 23:12 . 2008-12-01 23:26 d-------- c:\documents and settings\ISABELLE\Application Data\FarmerJane 2008-12-01 22:57 . 2008-12-01 22:57 d-------- c:\documents and settings\ISABELLE\Application Data\Gaijin Ent 2008-12-01 21:43 . 2008-12-01 21:43 d-------- c:\documents and settings\ISABELLE\Application Data\Valusoft 2008-12-01 21:43 . 2008-12-01 21:43 d-------- c:\documents and settings\All Users\Application Data\Valusoft 2008-12-01 20:56 . 2008-12-01 20:56 d-------- c:\documents and settings\All Users\Application Data\Arkadium 2008-12-01 20:00 . 2008-12-07 10:22 268 --a------ c:\windows\wininit.ini 2008-12-01 13:46 . 2008-12-08 11:29 461 --a------ c:\windows\system32\win32hlp.cnf 2008-12-01 10:28 . 2008-12-01 10:28 d-------- c:\documents and settings\ISABELLE\Application Data\AlterLab 2008-12-01 09:06 . 2008-12-01 15:51 d-------- c:\program files\Spybot - Search & Destroy 2008-12-01 09:06 . 2008-12-08 10:29 d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2008-11-28 20:48 . 2008-11-29 18:25 5 --a------ c:\windows\sbacknt.bin 2008-11-28 20:46 . 2008-11-29 19:24 d-------- c:\documents and settings\ISABELLE\Application Data\vghd 2008-11-28 20:46 . 2008-11-28 20:46 152,904 --a------ c:\windows\system32\vghd.scr 2008-11-28 20:46 . 2008-12-02 12:15 1,349 --a------ c:\windows\system32\ahtn.htm 2008-11-28 20:46 . 2008-12-02 08:43 4 --a------ c:\windows\system32 est.ttt 2008-11-28 19:30 . 2008-11-28 19:30 d-------- c:\documents and settings\All Users\Application Data\FreshGames 2008-11-28 16:47 . 2008-11-28 16:47 d-------- c:\documents and settings\ISABELLE\Application Data\Meridian93 2008-11-28 16:07 . 2008-11-30 17:43 d-------- c:\documents and settings\ISABELLE\Application Data\Shopping Blocks 2008-11-28 14:59 . 2008-11-28 15:05 d-------- c:\documents and settings\ISABELLE\Application Data\Ancient Quest of Saqqarah__gamehouse 2008-11-26 00:55 . 2008-11-28 19:30 d-------- c:\documents and settings\ISABELLE\Application Data\Zylom 2008-11-25 22:09 . 2008-11-25 22:09 d--hs---- c:\windows\ftpcache 2008-11-25 21:05 . 2008-11-25 21:05 d-------- c:\documents and settings\ISABELLE\Application Data\SulusGames 2008-11-25 16:52 . 2008-11-26 13:45 d-------- c:\documents and settings\ISABELLE\Application Data\funkitron 2008-11-25 16:51 . 2008-11-25 16:51 d-------- c:\program files\Slingo Quest 2008-11-25 14:35 . 2008-11-25 14:36 d-------- c:\documents and settings\ISABELLE\Application Data\PetShowCraze 2008-11-25 02:36 . 2008-11-25 02:36 d-------- c:\documents and settings\All Users\Application Data\QB9 S.R.L 2008-11-24 20:48 . 2008-11-24 20:48 d-------- c:\documents and settings\ISABELLE\Application Data\cerasus 2008-11-24 17:24 . 2008-12-07 21:44 d---s---- c:\documents and settings\ISABELLE\UserData 2008-11-23 18:30 . 2008-11-23 18:30 d-------- c:\documents and settings\All Users\Application Data\FarmFrenzy2 2008-11-23 18:23 . 2008-12-08 13:09 103,634 --a------ c:\windows\system32\drivers\30668e04.sys 2008-11-23 16:31 . 2008-11-23 16:31 d-------- c:\documents and settings\ISABELLE\Contacts 2008-11-22 22:56 . 2008-11-23 03:02 d--h----- c:\windows\$hf_mig$ 2008-11-22 22:55 . 2008-11-22 22:55 d-------- c:\documents and settings\ISABELLE\Application Data\AVG7 2008-11-22 22:54 . 2008-12-08 13:04 d-------- c:\windows\apppatch 2008-11-22 22:54 . 2008-11-22 22:54 d--h----- c:\documents and settings\ISABELLE\Voisinage d'impression 2008-11-22 22:54 . 2008-11-22 22:54 dr------- c:\documents and settings\ISABELLE\Menu D‚marrer 2008-11-22 22:54 . 2008-11-22 22:54 d-------- c:\documents and settings\ISABELLE\Application Data\You've Got Pictures Screensaver 2008-11-22 22:54 . 2008-11-22 22:54 d-------- c:\documents and settings\ISABELLE\Application Data\DivX 2008-11-21 22:14 . 2008-11-21 22:14 d-------- c:\documents and settings\ISABELLE\Application Data\LuckyTender 2008-11-21 20:15 . 2008-12-06 02:55 d-------- c:\documents and settings\ISABELLE\Application Data\cerasus.media 2008-11-21 19:09 . 2008-12-06 00:18 d-------- c:\documents and settings\ISABELLE\Application Data\PlayFirst 2008-11-21 12:38 . 2008-11-21 12:39 d-------- c:\documents and settings\ISABELLE\Application Data\Magic Academy 2008-11-21 11:36 . 2008-12-07 13:27 d-------- c:\program files\Fichiers communs\PC Tools 2008-11-20 21:55 . 2008-11-20 21:55 d-------- c:\documents and settings\ISABELLE\Application Data\Flood Light Games 2008-11-20 20:33 . 2006-02-24 22:56 d--h----- c:\documents and settings\ISABELLE\Voisinage r‚seau 2008-11-20 20:33 . 2008-11-22 22:54 d--h----- c:\documents and settings\ISABELLE\ModŠles 2008-11-20 20:33 . 2008-12-07 21:43 dr------- c:\documents and settings\ISABELLE\Mes documents 2008-11-20 20:33 . 2008-12-08 11:22 dr------- c:\documents and settings\ISABELLE\Favoris 2008-11-20 20:33 . 2008-12-08 12:57 dr------- c:\documents and settings\ISABELLE\Bureau 2008-11-20 20:33 . 2008-12-08 10:28 d-a------ c:\documents and settings\ISABELLE 2008-11-18 11:31 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll 2008-11-18 11:31 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll 2008-11-18 11:31 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui 2008-11-17 22:26 . 2008-11-23 18:24 d-------- c:\program files\myBabylon_English 2008-11-17 14:36 . 2008-11-17 14:36 d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller 2008-11-17 14:35 . 2008-11-17 14:36 d-------- c:\program files\Windows Live 2008-11-17 14:35 . 2008-11-17 14:35 d-------- c:\documents and settings\All Users\Application Data\WLInstaller 2008-11-17 14:21 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys 2008-11-17 14:20 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-08 12:01 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP 2008-12-08 09:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater 2008-12-07 22:43 6,384 ----a-w C:\GETDRIVE.EXE 2008-12-07 21:02 --------- d-----w c:\program files\Zylom Games 2008-12-07 20:52 --------- d-----w c:\program files\DivX 2008-12-06 20:01 --------- d-----w c:\program files\Yahoo! 2008-12-05 23:18 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst 2008-12-05 21:26 --------- d-----w c:\program files\eMule 2008-11-26 00:02 --------- d-----w c:\program files\LuckyTender 2008-11-25 23:26 --------- d-----w c:\documents and settings\All Users\Application Data\HipSoft 2008-11-23 15:22 --------- d-----w c:\program files\Google 2008-11-23 12:28 --------- d-----w c:\program files\Wanadoo 2008-11-23 01:01 --------- d-----w c:\documents and settings\All Users\Application Data\MysteryChronicles 2008-11-22 21:56 --------- d-----w c:\program files\Fichiers communs\Adobe 2008-11-22 21:55 --------- d-----w c:\program files\Cluedo 2008-11-22 21:55 --------- d-----w c:\documents and settings\All Users\Application Data\avg7 2008-11-20 19:18 --------- d-----w c:\program files\Packard Bell EverSafe 2008-11-04 21:34 --------- d-----w c:\documents and settings\All Users\Application Data\EscapeTheMuseum 2008-11-03 23:04 --------- d-----w c:\documents and settings\All Users\Application Data\Fugazo 2008-11-03 18:45 --------- d-----w c:\documents and settings\All Users\Application Data\MissTeriTale2 2008-11-03 15:13 --------- d-----w c:\documents and settings\All Users\Application Data\MythPeople 2008-10-30 16:11 --------- d-----w c:\documents and settings\All Users\Application Data\SpinTop Games 2008-10-30 04:19 --------- d-----w c:\documents and settings\All Users\Application Data\Oberon Media 2008-10-28 20:08 --------- d-----w c:\documents and settings\All Users\Application Data 7-89-o9-3r-4t-r9 2008-10-27 09:05 --------- d-----w c:\documents and settings\All Users\Application Data\JollyBear 2008-10-27 06:42 --------- d-----w c:\documents and settings\All Users\Application Data\SugarGames 2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys 2008-10-20 17:09 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom 2008-10-20 13:42 --------- d-----w c:\documents and settings\All Users\Application Data\GameHouse 2008-10-19 08:38 --------- d-----w c:\program files\ReflexiveArcade 2008-10-19 06:15 --------- d-----w c:\program files\QuickTime 2008-10-18 06:26 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games 2008-10-18 05:59 --------- d-----w c:\program files\Share_Accelerator_MM 2008-10-18 05:59 --------- d-----w c:\program files\Conduit 2008-10-17 15:24 --------- d--h--w c:\program files\InstallShield Installation Information 2008-10-17 10:12 --------- d-----w c:\documents and settings\All Users\Application Data\FloodLightGames 2008-10-16 07:06 --------- d-----w c:\documents and settings\All Users\Application Data\BOONTY 2008-10-16 04:58 --------- d-----w c:\program files\Java 2008-10-08 14:08 --------- d-----w c:\program files\Lx_cats 2006-02-24 20:37 3,308,767 ----a-w c:\program files\Shareaza_2.2.1.0.exe 2006-02-24 19:32 1,525,216 -c--a-w c:\program files\Antispam.exe . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-03 68856] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] "SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-19 413696] "TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB ealsched.exe" [2008-02-03 185632] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\spttseng32] 2004-11-06 01:36 13312 c:\windows\system32\spttseng32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=ykaeuo.dll xsqhhr.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\eMule\emule.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\WINDOWS\system32\mmc.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "8767:TCP"= 8767:TCP:messenger "8387:TCP"= 8387:TCP:messenger "7313:TCP"= 7313:TCP:messenger "6216:TCP"= 6216:TCP:messenger "6358:TCP"= 6358:TCP:messenger "5282:TCP"= 5282:TCP:messenger "2311:TCP"= 2311:TCP:messenger "2764:TCP"= 2764:TCP:messenger "8147:TCP"= 8147:TCP:messenger "7464:TCP"= 7464:TCP:messenger "8138:TCP"= 8138:TCP:messenger "4641:TCP"= 4641:TCP:messenger "4246:TCP"= 4246:TCP:messenger "5737:TCP"= 5737:TCP:messenger "5852:TCP"= 5852:TCP:messenger "4816:TCP"= 4816:TCP:messenger "4455:TCP"= 4455:TCP:messenger "4635:TCP"= 4635:TCP:messenger "8451:TCP"= 8451:TCP:messenger "5158:TCP"= 5158:TCP:messenger "2455:TCP"= 2455:TCP:messenger "1132:TCP"= 1132:TCP:messenger "3456:TCP"= 3456:TCP:messenger "5124:TCP"= 5124:TCP:messenger "5684:TCP"= 5684:TCP:messenger "7474:TCP"= 7474:TCP:messenger "1616:TCP"= 1616:TCP:messenger "4365:TCP"= 4365:TCP:messenger R1 Asapi;Asapi;c:\windows\system32\drivers\Asapi.sys [2004-11-01 11264] R2 MTC0005_MTCDIO;Wireless HotKey Driver;c:\windows\system32\drivers\MTCDIO.sys [2004-11-01 11316] R2 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2002-09-30 14336] R3 EMCR;EMCR;c:\windows\system32\DRIVERS\EMCR7SK.sys [1980-01-01 68224] S1 aswSP;avast! Self Protection; [] S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [] S2 MTCDIO;MTCDIO;c:\windows\system32\DRIVERS\MTCDIO.sys [2004-11-01 11316] S2 spttseng32;SAPI 5;rundll32.exe c:\windows\system32\spttseng32.dll,ozob [] S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2006-08-21 21344] S3 PhTVTune;Cap7134 TVTuner;c:\windows\system32\DRIVERS\PhTVTune.sys [2004-06-15 42080] . Contenu du dossier 'Tâches planifiées' 2008-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42] 2006-02-24 c:\windows\Tasks\Rappel d'enregistrement 3.job - c:\windows\System32\OOBE\oobebaln.exe [2008-04-14 03:34] . - - - - ORPHELINS SUPPRIMES - - - - BHO-{7cbbbdc4-14dc-4adc-b3b7-6d8f239f1dc3} - (no file) BHO-{8bbd98de-7282-4e2d-b225-4e53b25b89f7} - (no file) BHO-{8bd2adce-c1ff-4347-8436-199d0a544854} - (no file) BHO-{abf32fac-4034-47fa-a2d2-b419bf8aa7fd} - (no file) BHO-{b90bfbb2-516a-46de-9251-94fc034f22f7} - (no file) BHO-{c81bab98-02d9-4ccd-bc3b-9a0c4609706f} - (no file) BHO-{cb0d163c-e9f4-4236-9496-0597e24b23a5} - (no file) BHO-{e4023b77-662c-43c6-9278-4b0c662cea21} - (no file) Toolbar-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file) WebBrowser-{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - (no file) HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe HKLM-Run-Microsoft WinUpdate - c:\windows\system32\msupdte.exe HKLM-Run-SpywareCleaner - c:\windows\system32\SpywareRemover.exe HKLM-Run-ISTray - c:\program files\PC Tools Internet Security\pctsTray.exe HKLM-Run-6425bd6f - c:\windows\system32\gdgeatca.dll HKLM-Run-Framework Windows - frmwrk32.exe ShellExecuteHooks-{C81BAB98-02D9-4CCD-BC3B-9A0C4609706F} - (no file) Notify-tuvskkaq - tuvSkKAQ.dll . ------- Examen supplémentaire ------- . uSearch Page = hxxp://www.google.com uStart Page = hxxp://www.orange.fr/ uSearch Bar = hxxp://www.google.com/ie mDefault_Search_URL = hxxp://www.google.com/ie mStart Page = hxxp://lo.st mWindow Title = uInternet Connection Wizard,ShellNext = hxxp://celaia.daxon.fr/vente-en-ligne/panier/panier.aspx uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s mSearchAssistant = hxxp://www.google.com/ie LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd c:\windows\Downloaded Program Files\CookingDashWeb.1.0.0.9.dll - O16 -: {195B4BBF-E1E4-4020-9773-0A8C6F65EA35} hxxp://webgames.d.tmsrv.com/c=57c218bb5298e374b3c5e9f078cabd4f/aff=t_25oa_frca_wg/p/release/playfirst/wg_cookingdash/cookingdash/CookingDashWeb.1.0.0.9.cab c:\windows\Downloaded Program Files\CookingDashWeb.1.0.0.9.inf c:\windows\Downloaded Program Files\zenerchi.1.0.0.10.dll - O16 -: {bac761d3-dffd-4db4-a01d-173346e090a7} hxxp://jeuxenligne.orange.fr/orange2.0/games/channel--110167437/lc--fr/room--5bca0d7d-3ef6-4521-bd1b-5d981bd14ff1/online/zenerchi/fr/ZenerchiWeb.1.0.0.10.cab c:\windows\Downloaded Program Files\zenerchi.1.0.0.10.inf c:\windows\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} hxxp://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-08 13:08:51 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime] "ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\30668e04] "ImagePath"="\SystemRoot\System32\drivers\30668e04.sys" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(892) c:\windows\system32\spttseng32.dll - - - - - - - > 'lsass.exe'(948) c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\ati2evxx.exe c:\program files\Lavasoft\Ad-Aware\aawservice.exe c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe c:\program files\PC Tools AntiVirus\PCTAVSvc.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2008-12-08 13:11:12 - La machine a redémarré ComboFix-quarantined-files.txt 2008-12-08 12:11:09 Avant-CF: 22ÿ795ÿ624ÿ448 octets libres AprÞs-CF: 22,887,993,344 octets libres 328 --- E O F --- 2008-11-24 09:41:45

mumu5938 · Answer

je peux de nouveau afficher la photo que je veux en arrière plan sur mon bureau
super merci beaucoup!!!!!
par ailleurs puis je supprimer tous les bloc notes de tout à l'heure?
j'ai également un pb avec spyboot s&d. qd je fais une analyse il me demande à chaque fois si j'autorise ou refuse la modification. que dois je faire?

jlpjlp · Answer

analyse ceci sur virus total et colle le rapport: https://www.virustotal.com/gui/

c:\windows\system32\spttseng32.dll 


_______________



scan avec 
MalwareByte's Anti-Malware en mode normal et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

mumu5938 · Answer

Fichier spttseng32.dll reçu le 2008.12.08 13:36:47 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 11/38 (28.95%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 5.
L'heure estimée de démarrage est entre 70 et 100 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
AhnLab-V3 2008.12.6.0 2008.12.06 - 
AntiVir 7.9.0.42 2008.12.08 TR/Crypt.XPACK.Gen 
Authentium 5.1.0.4 2008.12.08 - 
Avast 4.8.1281.0 2008.12.08 Win32:Globan 
AVG 8.0.0.199 2008.12.07 Agent_r.DC 
BitDefender 7.2 2008.12.07 Trojan.Dropper.Crypt.C 
CAT-QuickHeal 10.00 2008.12.08 - 
ClamAV 0.94.1 2008.12.07 - 
Comodo 708 2008.12.08 - 
DrWeb 4.44.0.09170 2008.12.07 - 
eSafe 7.0.17.0 2008.12.07 Suspicious File 
eTrust-Vet 31.6.6246 2008.12.05 - 
Ewido 4.0 2008.12.07 - 
F-Prot 4.4.4.56 2008.12.04 - 
F-Secure 8.0.14332.0 2008.12.08 Trojan-Proxy.Win32.Glukelira.gen 
Fortinet 3.117.0.0 2008.12.07 - 
GData 19 2008.12.07 Trojan.Dropper.Crypt.C 
Ikarus T3.1.1.45.0 2008.12.08 Trojan-Dropper.Agent 
K7AntiVirus 7.10.547 2008.12.06 - 
Kaspersky 7.0.0.125 2008.12.07 Trojan-Proxy.Win32.Glukelira.gen 
McAfee 5456 2008.12.06 - 
McAfee+Artemis 5456 2008.12.06 - 
Microsoft 1.4205 2008.12.08 - 
NOD32 3670 2008.12.08 a variant of Win32/Evati.A 
Norman 5.80.02 2008.12.05 - 
Panda 9.0.0.4 2008.12.07 - 
PCTools 4.4.2.0 2008.12.07 - 
Prevx1 V2 2008.12.08 - 
Rising 21.06.62.00 2008.12.07 - 
SecureWeb-Gateway 6.7.6 2008.12.08 Trojan.Crypt.XPACK.Gen 
Sophos 4.36.0 2008.12.07 - 
Sunbelt 3.1.1832.2 2008.12.01 - 
Symantec 10 2008.12.07 - 
TheHacker 6.3.1.2.179 2008.12.06 - 
TrendMicro 8.700.0.1004 2008.12.08 - 
VBA32 3.12.8.10 2008.12.07 - 
ViRobot 2008.12.6.1504 2008.12.06 - 
VirusBuster 4.5.11.0 2008.12.05 - 
Information additionnelle 
File size: 13312 bytes 
MD5...: 6e43859d29cae1202221b571c06691cc 
SHA1..: c646d3d74325937c29cb3c4bff41664caa5f0d75 
SHA256: 4efc8d05b84fde226dd954381290a3a35f83fefaa11124ad6645dd71ab203532 
SHA512: ccda6a76e07dcf83e8e95adbca1734aa2ae399b34d652e3485b2eb5a3c91d286
48adcc0cf597729991a062af1b15c787abb2aa487e0bed356cc00d95e89ccd4b
 
ssdeep: 384:38wnhZFNjv++WNkuLUkASkOSNtet6ZW+fW/WL:McNjm+U7LUxi4etyWS
 
PEiD..: - 
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000a770
timedatestamp.....: 0x48bc705e (Mon Sep 01 22:44:46 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x7000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x8000 0x3000 0x2a00 7.84 3a9fbd74b0b7de5ef26ccd59bb0bfcd1
.rsrc 0xb000 0x1000 0x600 2.63 e2128fa4d8d240d0ed13fd927165025b

( 1 imports ) 
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree

( 1 exports ) 
ozob
 
packers (Kaspersky): PE_Patch.UPX, UPX 
packers (F-Prot): UPX 
packers (Avast): UPX

mumu5938 · Answer

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
je dois le télécharger?

jlpjlp · Answer

ok fais malwarebyte

mumu5938 · Answer

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1474
Windows 5.1.2600 Service Pack 3

08/12/2008 14:13:54
mbam-log-2008-12-08 (14-13-32).txt

Type de recherche: Examen rapide
Eléments examinés: 62089
Temps écoulé: 24 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\6425bd6f (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gadcom (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> No action taken.

mumu5938 · Answer

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1474
Windows 5.1.2600 Service Pack 3

08/12/2008 14:24:01
mbam-log-2008-12-08 (14-24-01).txt

Type de recherche: Examen rapide
Eléments examinés: 62089
Temps écoulé: 24 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\6425bd6f (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gadcom (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft WinUpdate (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

jlpjlp · Answer

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :



Driver ::
spttseng32

File::
c:\windows\system32\spttseng32.dll
c:\windows\system32\spttseng32.dll,ozob 

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\spttseng32]





Enregistre ce fichier sous le nom CFscript



Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

mumu5938 · Answer

ComboFix 08-12-06.06 - ISABELLE 2008-12-08 14:56:19.2 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.196 [GMT 1:00]
LancÚ depuis: c:\documents and settings\ISABELLE\Bureau\ComboFix.exe
Commutateurs utilisÚs :: c:\documents and settings\ISABELLE\Bureau\CFscript.txt
* Un nouveau point de restauration a ÚtÚ crÚÚ
* Resident AV is active

FILE ::
c:\windows\system32\spttseng32.dll
c:\windows\system32\spttseng32.dll,ozob
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\actaegdg.ini
c:\windows\system32\hnlndukr.ini
c:\windows\system32\spttseng32.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SPTTSENG32
-------\Service_spttseng32

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-08 au 2008-12-08 ))))))))))))))))))))))))))))))))))))
.

2008-12-08 13:48 . 2008-12-08 13:48 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Malwarebytes
2008-12-08 13:47 . 2008-12-08 13:48 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-08 13:47 . 2008-12-08 13:47 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-08 13:47 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-08 13:47 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-08 11:58 . 2008-12-08 12:25 <REP> d-------- C:\ToolBar SD
2008-12-08 11:42 . 2008-12-08 11:42 <REP> d-------- C:\rsit
2008-12-08 11:42 . 2008-12-08 11:42 <REP> d-------- c:\program files\trend micro
2008-12-08 01:29 . 2008-12-08 01:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Lavasoft
2008-12-07 13:35 . 2008-12-07 13:35 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\PC Tools
2008-12-07 13:34 . 2008-12-08 13:12 <REP> d-------- c:\program files\PC Tools AntiVirus
2008-12-07 13:34 . 2007-12-06 16:51 28,568 --a------ c:\windows\system32\drivers\AVHook.sys
2008-12-07 13:34 . 2007-12-06 16:51 21,912 --a------ c:\windows\system32\drivers\AVRec.sys
2008-12-07 13:34 . 2008-02-12 11:44 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys
2008-12-06 20:59 . 2008-12-06 21:02 <REP> d-------- c:\program files\CCleaner
2008-12-06 00:56 . 2008-12-06 00:56 <REP> d-------- c:\documents and settings\All Users\Application Data\TheRace_dev
2008-12-06 00:42 . 2008-12-06 00:42 <REP> d-------- c:\program files\Fichiers communs\SWF Studio
2008-12-05 23:28 . 2008-12-05 23:28 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\iWin
2008-12-05 23:28 . 2008-12-05 23:28 <REP> d-------- c:\documents and settings\All Users\Application Data\iWin
2008-12-05 22:42 . 2008-12-05 22:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Gogii
2008-12-05 22:28 . 2008-12-05 22:28 <REP> d-------- c:\documents and settings\All Users\Application Data\Intenium
2008-12-04 23:49 . 2008-12-04 23:49 <REP> d-------- c:\documents and settings\LocalService\Application Data\PCToolsSpamMonitorPlus
2008-12-04 23:49 . 2008-12-04 23:49 <REP> d-------- c:\documents and settings\LocalService\Application Data\PCToolsFirewallPlus
2008-12-04 19:55 . 2008-12-04 19:55 <REP> d--h----- c:\windows\PIF
2008-12-03 04:12 . 2008-12-06 00:39 <REP> d-------- c:\documents and settings\All Users\Application Data\Playrix Entertainment
2008-12-02 12:44 . 2008-12-02 12:44 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\PCToolsFirewallPlus
2008-12-02 12:43 . 2008-12-02 12:43 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\PCToolsSpamMonitorPlus
2008-12-02 12:35 . 2008-12-07 13:34 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Tools
2008-12-02 08:54 . 2008-12-02 08:54 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Twain
2008-12-01 23:27 . 2008-12-01 23:27 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Games
2008-12-01 23:12 . 2008-12-01 23:26 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\FarmerJane
2008-12-01 22:57 . 2008-12-01 22:57 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Gaijin Ent
2008-12-01 21:43 . 2008-12-01 21:43 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Valusoft
2008-12-01 21:43 . 2008-12-01 21:43 <REP> d-------- c:\documents and settings\All Users\Application Data\Valusoft
2008-12-01 20:56 . 2008-12-01 20:56 <REP> d-------- c:\documents and settings\All Users\Application Data\Arkadium
2008-12-01 20:00 . 2008-12-07 10:22 268 --a------ c:\windows\wininit.ini
2008-12-01 13:46 . 2008-12-08 11:29 461 --a------ c:\windows\system32\win32hlp.cnf
2008-12-01 10:28 . 2008-12-01 10:28 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\AlterLab
2008-12-01 09:06 . 2008-12-01 15:51 <REP> d-------- c:\program files\Spybot - Search & Destroy
2008-12-01 09:06 . 2008-12-08 10:29 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-11-28 20:48 . 2008-11-29 18:25 5 --a------ c:\windows\sbacknt.bin
2008-11-28 20:46 . 2008-11-29 19:24 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\vghd
2008-11-28 20:46 . 2008-11-28 20:46 152,904 --a------ c:\windows\system32\vghd.scr
2008-11-28 20:46 . 2008-12-02 08:43 4 --a------ c:\windows\system32\test.ttt
2008-11-28 19:30 . 2008-11-28 19:30 <REP> d-------- c:\documents and settings\All Users\Application Data\FreshGames
2008-11-28 16:47 . 2008-11-28 16:47 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Meridian93
2008-11-28 16:07 . 2008-11-30 17:43 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Shopping Blocks
2008-11-28 14:59 . 2008-11-28 15:05 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Ancient Quest of Saqqarah__gamehouse
2008-11-26 00:55 . 2008-11-28 19:30 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Zylom
2008-11-25 22:09 . 2008-11-25 22:09 <REP> d--hs---- c:\windows\ftpcache
2008-11-25 21:05 . 2008-11-25 21:05 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\SulusGames
2008-11-25 16:52 . 2008-11-26 13:45 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\funkitron
2008-11-25 16:51 . 2008-11-25 16:51 <REP> d-------- c:\program files\Slingo Quest
2008-11-25 14:35 . 2008-11-25 14:36 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\PetShowCraze
2008-11-25 02:36 . 2008-11-25 02:36 <REP> d-------- c:\documents and settings\All Users\Application Data\QB9 S.R.L
2008-11-24 20:48 . 2008-11-24 20:48 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\cerasus
2008-11-24 17:24 . 2008-12-07 21:44 <REP> d---s---- c:\documents and settings\ISABELLE\UserData
2008-11-23 18:30 . 2008-11-23 18:30 <REP> d-------- c:\documents and settings\All Users\Application Data\FarmFrenzy2
2008-11-23 18:23 . 103,634 c:\windows\system32\drivers\30668e04.sys
2008-11-23 16:31 . 2008-11-23 16:31 <REP> d-------- c:\documents and settings\ISABELLE\Contacts
2008-11-22 22:56 . 2008-11-23 03:02 <REP> d--h----- c:\windows\$hf_mig$
2008-11-22 22:55 . 2008-11-22 22:55 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\AVG7
2008-11-22 22:54 . 2008-12-08 14:58 <REP> d-------- c:\windows\apppatch
2008-11-22 22:54 . 2008-11-22 22:54 <REP> d--h----- c:\documents and settings\ISABELLE\Voisinage d'impression
2008-11-22 22:54 . 2008-11-22 22:54 <REP> dr------- c:\documents and settings\ISABELLE\Menu Démarrer
2008-11-22 22:54 . 2008-11-22 22:54 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\You've Got Pictures Screensaver
2008-11-22 22:54 . 2008-11-22 22:54 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\DivX
2008-11-21 22:14 . 2008-11-21 22:14 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\LuckyTender
2008-11-21 20:15 . 2008-12-06 02:55 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\cerasus.media
2008-11-21 19:09 . 2008-12-06 00:18 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\PlayFirst
2008-11-21 12:38 . 2008-11-21 12:39 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Magic Academy
2008-11-21 11:36 . 2008-12-07 13:27 <REP> d-------- c:\program files\Fichiers communs\PC Tools
2008-11-20 21:55 . 2008-11-20 21:55 <REP> d-------- c:\documents and settings\ISABELLE\Application Data\Flood Light Games
2008-11-20 20:33 . 2006-02-24 22:56 <REP> d--h----- c:\documents and settings\ISABELLE\Voisinage réseau
2008-11-20 20:33 . 2008-11-22 22:54 <REP> d--h----- c:\documents and settings\ISABELLE\Modèles
2008-11-20 20:33 . 2008-12-07 21:43 <REP> dr------- c:\documents and settings\ISABELLE\Mes documents
2008-11-20 20:33 . 2008-12-08 11:22 <REP> dr------- c:\documents and settings\ISABELLE\Favoris
2008-11-20 20:33 . 2008-12-08 14:56 <REP> dr------- c:\documents and settings\ISABELLE\Bureau
2008-11-20 20:33 . 2008-12-08 10:28 <REP> d-a------ c:\documents and settings\ISABELLE
2008-11-18 11:31 . 2008-10-16 14:06 268,648 --a------ c:\windows\system32\mucltui.dll
2008-11-18 11:31 . 2008-10-16 14:06 208,744 --a------ c:\windows\system32\muweb.dll
2008-11-18 11:31 . 2008-10-16 14:06 27,496 --a------ c:\windows\system32\mucltui.dll.mui
2008-11-17 22:26 . 2008-11-23 18:24 <REP> d-------- c:\program files\myBabylon_English
2008-11-17 14:36 . 2008-11-17 14:36 <REP> d--hsc--- c:\program files\Fichiers communs\WindowsLiveInstaller
2008-11-17 14:35 . 2008-11-17 14:36 <REP> d-------- c:\program files\Windows Live
2008-11-17 14:35 . 2008-11-17 14:35 <REP> d-------- c:\documents and settings\All Users\Application Data\WLInstaller
2008-11-17 14:21 . 2008-10-24 12:21 455,296 --------- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-17 14:20 . 2008-09-04 18:16 1,106,944 --------- c:\windows\system32\dllcache\msxml3.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 13:54 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-12-08 09:58 --------- d-----w c:\documents and settings\All Users\Application Data\Google Updater
2008-12-07 22:43 6,384 ----a-w C:\GETDRIVE.EXE
2008-12-07 21:02 --------- d-----w c:\program files\Zylom Games
2008-12-07 20:52 --------- d-----w c:\program files\DivX
2008-12-06 20:01 --------- d-----w c:\program files\Yahoo!
2008-12-05 23:18 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst
2008-12-05 21:26 --------- d-----w c:\program files\eMule
2008-11-26 00:02 --------- d-----w c:\program files\LuckyTender
2008-11-25 23:26 --------- d-----w c:\documents and settings\All Users\Application Data\HipSoft
2008-11-23 15:22 --------- d-----w c:\program files\Google
2008-11-23 12:28 --------- d-----w c:\program files\Wanadoo
2008-11-23 01:01 --------- d-----w c:\documents and settings\All Users\Application Data\MysteryChronicles
2008-11-22 21:56 --------- d-----w c:\program files\Fichiers communs\Adobe
2008-11-22 21:55 --------- d-----w c:\program files\Cluedo
2008-11-22 21:55 --------- d-----w c:\documents and settings\All Users\Application Data\avg7
2008-11-20 19:18 --------- d-----w c:\program files\Packard Bell EverSafe
2008-11-04 21:34 --------- d-----w c:\documents and settings\All Users\Application Data\EscapeTheMuseum
2008-11-03 23:04 --------- d-----w c:\documents and settings\All Users\Application Data\Fugazo
2008-11-03 18:45 --------- d-----w c:\documents and settings\All Users\Application Data\MissTeriTale2
2008-11-03 15:13 --------- d-----w c:\documents and settings\All Users\Application Data\MythPeople
2008-10-30 16:11 --------- d-----w c:\documents and settings\All Users\Application Data\SpinTop Games
2008-10-30 04:19 --------- d-----w c:\documents and settings\All Users\Application Data\Oberon Media
2008-10-28 20:08 --------- d-----w c:\documents and settings\All Users\Application Data\n7-89-o9-3r-4t-r9
2008-10-27 09:05 --------- d-----w c:\documents and settings\All Users\Application Data\JollyBear
2008-10-27 06:42 --------- d-----w c:\documents and settings\All Users\Application Data\SugarGames
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-20 17:09 --------- d-----w c:\documents and settings\All Users\Application Data\Zylom
2008-10-20 13:42 --------- d-----w c:\documents and settings\All Users\Application Data\GameHouse
2008-10-19 08:38 --------- d-----w c:\program files\ReflexiveArcade
2008-10-19 06:15 --------- d-----w c:\program files\QuickTime
2008-10-18 06:26 --------- d-----w c:\documents and settings\All Users\Application Data\Flood Light Games
2008-10-18 05:59 --------- d-----w c:\program files\Share_Accelerator_MM
2008-10-18 05:59 --------- d-----w c:\program files\Conduit
2008-10-17 15:24 --------- d--h--w c:\program files\InstallShield Installation Information
2008-10-17 10:12 --------- d-----w c:\documents and settings\All Users\Application Data\FloodLightGames
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-16 07:06 --------- d-----w c:\documents and settings\All Users\Application Data\BOONTY
2008-10-16 04:58 --------- d-----w c:\program files\Java
2008-10-15 16:35 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-08 14:08 --------- d-----w c:\program files\Lx_cats
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
2008-09-15 15:26 1,846,528 ------w c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\dllcache\msxml6.dll
2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys
2006-02-24 20:37 3,308,767 ----a-w c:\program files\Shareaza_2.2.1.0.exe
2006-02-24 19:32 1,525,216 -c--a-w c:\program files\Antispam.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-03 68856]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"WOOKIT"="c:\progra~1\Wanadoo\Shell.exe" [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-10-19 413696]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2008-02-03 185632]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"SpywareCleaner"="c:\windows\system32\SpywareRemover.exe" [BU]
"ISTray"="c:\program files\PC Tools Internet Security\pctsTray.exe" [BU]
"Microsoft WinUpdate"="c:\windows\system32\msupdte.exe" [BU]
"6425bd6f"="c:\windows\system32\gdgeatca.dll" [BU]
"Framework Windows"="frmwrk32.exe" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=ykaeuo.dll xsqhhr.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:TCP"= 8767:TCP:messenger
"8387:TCP"= 8387:TCP:messenger
"7313:TCP"= 7313:TCP:messenger
"6216:TCP"= 6216:TCP:messenger
"6358:TCP"= 6358:TCP:messenger
"5282:TCP"= 5282:TCP:messenger
"2311:TCP"= 2311:TCP:messenger
"2764:TCP"= 2764:TCP:messenger
"8147:TCP"= 8147:TCP:messenger
"7464:TCP"= 7464:TCP:messenger
"8138:TCP"= 8138:TCP:messenger
"4641:TCP"= 4641:TCP:messenger
"4246:TCP"= 4246:TCP:messenger
"5737:TCP"= 5737:TCP:messenger
"5852:TCP"= 5852:TCP:messenger
"4816:TCP"= 4816:TCP:messenger
"4455:TCP"= 4455:TCP:messenger
"4635:TCP"= 4635:TCP:messenger
"8451:TCP"= 8451:TCP:messenger
"5158:TCP"= 5158:TCP:messenger
"2455:TCP"= 2455:TCP:messenger
"1132:TCP"= 1132:TCP:messenger
"3456:TCP"= 3456:TCP:messenger
"5124:TCP"= 5124:TCP:messenger
"5684:TCP"= 5684:TCP:messenger
"7474:TCP"= 7474:TCP:messenger
"1616:TCP"= 1616:TCP:messenger
"7522:TCP"= 7522:TCP:messenger

R1 Asapi;Asapi;c:\windows\system32\drivers\Asapi.sys [2004-11-01 11264]
R2 MTC0005_MTCDIO;Wireless HotKey Driver;c:\windows\system32\drivers\MTCDIO.sys [2004-11-01 11316]
R2 NwSapAgent;Agent SAP;c:\windows\System32\svchost.exe -k netsvcs [2002-09-30 14336]
R3 EMCR;EMCR;c:\windows\system32\DRIVERS\EMCR7SK.sys [1980-01-01 68224]
S1 aswSP;avast! Self Protection; []
S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys []
S2 MTCDIO;MTCDIO;c:\windows\system32\DRIVERS\MTCDIO.sys [2004-11-01 11316]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\DRIVERS\fbxusb32.sys [2006-08-21 21344]
S3 PhTVTune;Cap7134 TVTuner;c:\windows\system32\DRIVERS\PhTVTune.sys [2004-06-15 42080]
.
Contenu du dossier 'Tâches planifiées'

2008-10-30 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 12:42]

2006-02-24 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\System32\OOBE\oobebaln.exe [2008-04-14 03:34]
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
WebBrowser-{B2E293EE-FD7E-4C71-A714-5F4750D8D7B7} - (no file)
Notify-spttseng32 - spttseng32.dll

.
------- Examen supplémentaire -------
.
uSearch Page = hxxp://www.google.com
uStart Page = hxxp://www.orange.fr/
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
mStart Page = hxxp://lo.st
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://celaia.daxon.fr/vente-en-ligne/panier/panier.aspx
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
LSP: c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\CookingDashWeb.1.0.0.9.dll - O16 -: {195B4BBF-E1E4-4020-9773-0A8C6F65EA35}
hxxp://webgames.d.tmsrv.com/c=57c218bb5298e374b3c5e9f078cabd4f/aff=t_25oa_frca_wg/p/release/playfirst/wg_cookingdash/cookingdash/CookingDashWeb.1.0.0.9.cab
c:\windows\Downloaded Program Files\CookingDashWeb.1.0.0.9.inf

c:\windows\Downloaded Program Files\zenerchi.1.0.0.10.dll - O16 -: {bac761d3-dffd-4db4-a01d-173346e090a7}
hxxp://jeuxenligne.orange.fr/orange2.0/games/channel--110167437/lc--fr/room--5bca0d7d-3ef6-4521-bd1b-5d981bd14ff1/online/zenerchi/fr/ZenerchiWeb.1.0.0.10.cab
c:\windows\Downloaded Program Files\zenerchi.1.0.0.10.inf

c:\windows\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
hxxp://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 15:02:06
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySqlInventime]
"ImagePath"="c:\mysql\bin\mysqld-max-nt MySqlInventime"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\30668e04]
"ImagePath"="\SystemRoot\System32\drivers\30668e04.sys"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\program files\PC Tools AntiVirus\PCTAVHook.dll

- - - - - - - > 'lsass.exe'(952)
c:\program files\Fichiers communs\PC Tools\Lsp\PCTLsp.dll
c:\program files\PC Tools AntiVirus\PCTAVHook.dll

- - - - - - - > 'csrss.exe'(872)
c:\program files\PC Tools AntiVirus\PCTAVHook.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\program files\PC Tools AntiVirus\PCTAVSvc.exe
.
**************************************************************************
.
Heure de fin: 2008-12-08 15:05:12 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-08 14:05:07

Avant-CF: 24 203 284 480 octets libres
Après-CF: 24,212,541,440 octets libres

328 --- E O F --- 2008-11-24 09:41:45

mumu5938 · Answer

comment dois je faire pour le rapport Hijackthis ? merci bcp pour votre aide

jlpjlp · Answer

mets RSIT alors

jlpjlp · Answer

comme en 2






Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

mumu5938 · Answer

je n'ai pas info.txt

jlpjlp · Answer

analyse ces 4 fichiers sur virus total et colle moi les rapports: https://www.virustotal.com/gui/

c:\windows\system32\SpywareRemover.exe
c:\windows\system32\gdgeatca.dll
C:\WINDOWS\system32\frmwrk32.exe
c:\windows\system32\msupdte.exe


________________





je me mets ceci de coté


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareCleaner"=-
"Microsoft WinUpdate"=-
"6425bd6f"=-
"Framework Windows"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
O2 - BHO: (no name) - software - (no file)
O3 - Toolbar: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)
O3 - Toolbar: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O3 - Toolbar: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [6425bd6f] rundll32.exe "C:\WINDOWS\system32\gdgeatca.dll",b
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\ISABELLE\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810339E3F466188719AB689201522886B092CBD44BD8689220221DD3257
O9 - Extra button: (no name) - software - (no file)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O20 - AppInit_DLLs: ykaeuo.dll xsqhhr.dll

jlpjlp · Answer

ok o size c'est donc bien une cochonnerie!

_____________

Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lo.st
O2 - BHO: (no name) - software - (no file)
O3 - Toolbar: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)
O3 - Toolbar: (no name) - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} - (no file)
O3 - Toolbar: (no name) - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - (no file)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareCleaner] C:\WINDOWS\system32\SpywareRemover.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKLM\..\Run: [6425bd6f] rundll32.exe "C:\WINDOWS\system32\gdgeatca.dll",b
O4 - HKCU\..\Run: [gadcom] "C:\Documents and Settings\ISABELLE\Application Data\gadcom\gadcom.exe" 61A847B5BBF72810339E3F466188719AB689201522886B092CBD44BD8689220221DD3257
O9 - Extra button: (no name) - software - (no file)
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O20 - AppInit_DLLs: ykaeuo.dll xsqhhr.dll

__________________



Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :




File::
c:\windows\system32\SpywareRemover.exe
c:\windows\system32\gdgeatca.dll
C:\WINDOWS\system32\frmwrk32.exe
c:\windows\system32\msupdte.exe
c:\windows\Downloaded Program Files\OberonGameHost.dll 
c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf
C:\Documents and Settings\ISABELLE\Application Data\gadcom\gadcom.exe



Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"SpywareCleaner"=-
"Microsoft WinUpdate"=-
"6425bd6f"=-
"Framework Windows"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-




Enregistre ce fichier sous le nom CFscript



Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis ou RSIT


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

mumu5938 · Answer

vous croyez qu'on va s'en sortir?

jlpjlp · Answer

OUI

jlpjlp · Answer

ok parfait encore des soucis????


télécharge OTMoveIt 
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved. 
(attention bien mettre :files)

:files
C:\Documents and Settings\ISABELLE\Application Data\gadcom\gadcom.exe


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes. 

________________




pour dernière vérification :


 colle le rapport d'un scan en ligne 
avec un des suivants: 


Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Panda en ligne : 
http://pandasoftware.fr

jlpjlp · Answer

ok fais le scan en ligne
et dis moi si encore des soucis?

jlpjlp · Answer

accepte les modifications de spybot

______________


pour virer ce qui a été utilisé:



Télécharge ToolsCleaner sur ton bureau. 
-->  http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 

ps : pas besoin de m´envoyer le rapport si tout a ete supprimé 

______________

il faudra mettre a jour internet explorer avec la version 7

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html





garde spybot et malwarebyte en complement de ton antivirus

mumu5938 · Answer

Cookie/Xiti Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@xiti[1].txt
 
 Cookie/Serving... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@bs.serving-sys[2].txt
 
 Cookie/Smartad... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@smartadserver[1].txt
 
 Cookie/YieldMa... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@ad.yieldmanager[1].txt
 
 Cookie/Serving... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@serving-sys[1].txt
 
 Cookie/Weboram... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@weborama[1].txt
 
 Cookie/RealMed... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@247realmedia[1].txt
 
 Cookie/Atlas D... Cookie de surveillance Latent(e) Afficher +Infos   
 1. C:\Documents and Settings\ISABELLE\Cookies\isabelle@atdmt[1].txt
 
 Cookie/Doublec... Cookie de surveillance Latent(e) Afficher +Infos

jlpjlp · Answer

ok rien que des cookies que tu peux virer regulièrement dans les options de ton navigateur ou avec ccleaner ici:


https://www.malekal.com/tutoriel-ccleaner/












pour virer ce qui a été utilisé:



Télécharge ToolsCleaner sur ton bureau.
--> https://www.commentcamarche.net/telecharger/ 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ps : pas besoin de m´envoyer le rapport si tout a ete supprimé

______________

il faudra mettre a jour internet explorer avec la version 7

https://www.01net.com/telecharger/windows/Internet/navigateur/fiches/33081.html





garde spybot et malwarebyte en complement de ton antivirus

mumu5938 · Answer

[ Rapport ToolsCleaner version 2.2.6 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Documents and Settings\ISABELLE\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\ISABELLE\Bureau\HijackThis.exe: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\ISABELLE\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\ISABELLE\Bureau\HijackThis.exe: ERREUR DE SUPPRESSION !!

jlpjlp · Answer

ok ils n'ont pu etre viré , fais le manuellement (combofix et hijakchits a virer)

jlpjlp · Answer

si juste un dernier truc

pour virer les virus qui seraient dans ta restauration : désactive la puis redemarre ton ordi puis réactive là


https://www.informatruc.com

bonne suite

mumu5938 · Answer

parfait merci encore
bonne soirée

Warning dangerous spyware

36 réponses

Votre réponse

Discussions similaires

Newsletters