virus msn phot facebookRésolu/Fermé

Question

Bonjour,
Hier, j'ai reçu un message d'un ami sur msn avec un lien vers des photos de Facebook. Ne pensant pas qu'il s'agissait d'un virus, je suis allé sur ce lien, qui ne correspondait à rien et depuis mon PC rame, lorsque je lance msn, des fenêtre s'ouvre et ce referme et j'envoie ce fameux lien verrolé à tous mais contact. J'ai télécharger MSNFix, mais quand je lance la recherche, il reste bloqué sur la fenêtre "scan..."
 Qui peut m'aider à corriger ce problème SVP

Antoine

PS: Je suis sous Vista

Destrio5 · Answer

Salut,

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le Bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.

Destrio5 · Answer

--> Désactive l'UAC le temps de la désinfection.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Clique droit sur ComboFix.exe (le .exe n'est pas forcément visible) et choisis Exécuter en tant qu'administrateur afin de le lancer.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

lasouchedu85 · Answer

ComboFix 09-01-06.02 - Antoine 2009-01-07 16:11:20.1 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1022.410 [GMT 1:00] Lancé depuis: c:\users\Antoine\Desktop\ComboFix.exe * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\[u]0/u5902.exe c:\windows\system32\cbXOFuSM.dll c:\windows\system32\ddcbyWqP.dll c:\windows\system32\ddccdBQj.dll c:\windows\system32\efcDuRLe.dll c:\windows\system32\fccCvtSl.dll c:\windows\system32\gjdrrjjy.dll c:\windows\system32\hgGabXOF.dll c:\windows\system32\jovpborp.ini c:\windows\system32\pmetsfmr.dll c:\windows\system32\pmnlKcYp.dll c:\windows\system32\probpvoj.dll c:\windows\System32\pYcKlnmp.ini c:\windows\System32\pYcKlnmp.ini2 c:\windows\system32\qoMfcDus.dll c:\windows\system32\rmfstemp.ini c:\windows\system32\rqRIxvtT.dll c:\windows\system32\sysproc64 c:\windows\system32\sysproc64\[u]0/u01A786A.uf c:\windows\system32\WDdKkUvw.ini c:\windows\system32\WDdKkUvw.ini2 c:\windows\system32\wvUkKdDW.dll c:\windows\system32\yjjrrdjg.ini . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-07 au 2009-01-07 )))))))))))))))))))))))))))))))))))) . 2009-01-07 16:01 . 2009-01-07 16:01 d-------- c:\program files\Trend Micro 2009-01-07 15:58 . 2009-01-07 15:58 203,776 --a------ C:\mpsn.exe 2009-01-07 15:42 . 2009-01-07 15:42 d-------- c:\program files\MSNFix 2009-01-07 15:31 . 2009-01-07 16:14 35,328 --a------ c:\windows\System32\efcBsTLc.dll 2009-01-06 20:23 . 2009-01-07 15:58 72,704 --a------ C:\pip.exe 2009-01-06 12:22 . 2009-01-06 12:22 244 --ah----- C:\sqmnoopt19.sqm 2009-01-06 12:22 . 2009-01-06 12:22 232 --ah----- C:\sqmdata19.sqm 2009-01-06 12:18 . 2009-01-06 12:18 244 --ah----- C:\sqmnoopt18.sqm 2009-01-06 12:18 . 2009-01-06 12:18 232 --ah----- C:\sqmdata18.sqm 2009-01-06 12:08 . 2009-01-06 12:08 244 --ah----- C:\sqmnoopt17.sqm 2009-01-06 12:08 . 2009-01-06 12:08 232 --ah----- C:\sqmdata17.sqm 2009-01-06 12:03 . 2009-01-06 12:03 244 --ah----- C:\sqmnoopt16.sqm 2009-01-06 12:03 . 2009-01-06 12:03 232 --ah----- C:\sqmdata16.sqm 2009-01-06 11:59 . 2009-01-06 11:59 244 --ah----- C:\sqmnoopt15.sqm 2009-01-06 11:59 . 2009-01-06 11:59 232 --ah----- C:\sqmdata15.sqm 2009-01-06 11:52 . 2009-01-06 11:52 244 --ah----- C:\sqmnoopt14.sqm 2009-01-06 11:52 . 2009-01-06 11:52 232 --ah----- C:\sqmdata14.sqm 2009-01-06 11:47 . 2009-01-06 11:47 244 --ah----- C:\sqmnoopt13.sqm 2009-01-06 11:47 . 2009-01-06 11:47 232 --ah----- C:\sqmdata13.sqm 2009-01-06 11:42 . 2009-01-06 11:42 244 --ah----- C:\sqmnoopt12.sqm 2009-01-06 11:42 . 2009-01-06 11:42 232 --ah----- C:\sqmdata12.sqm 2009-01-06 11:37 . 2009-01-06 11:37 244 --ah----- C:\sqmnoopt11.sqm 2009-01-06 11:37 . 2009-01-06 11:37 232 --ah----- C:\sqmdata11.sqm 2009-01-06 11:32 . 2009-01-06 11:32 244 --ah----- C:\sqmnoopt10.sqm 2009-01-06 11:32 . 2009-01-06 11:32 232 --ah----- C:\sqmdata10.sqm 2009-01-06 11:30 . 2009-01-06 11:30 244 --ah----- C:\sqmnoopt09.sqm 2009-01-06 11:30 . 2009-01-06 11:30 232 --ah----- C:\sqmdata09.sqm 2009-01-05 20:54 . 2009-01-05 20:54 72,192 --a------ c:\windows\System32\urqRHwUo.dll 2008-12-14 18:18 . 2008-12-30 18:01 2,828 --ahs---- c:\users\All Users\KGyGaAvL.sys 2008-12-14 18:18 . 2008-12-30 18:01 2,828 --ahs---- c:\programdata\KGyGaAvL.sys 2008-12-14 18:18 . 2008-12-30 18:01 88 -rahs---- c:\users\All Users\8BBC98B2C1.sys 2008-12-14 18:18 . 2008-12-30 18:01 88 -rahs---- c:\programdata\8BBC98B2C1.sys 2008-12-14 18:10 . 2008-12-14 18:10 d-------- c:\program files\Common Files\Protexis 2008-12-14 18:10 . 2008-12-14 18:11 d-------- c:\program files\Common Files\Corel 2008-12-08 21:16 . 2009-01-06 20:23 268 --ah----- C:\sqmdata08.sqm 2008-12-08 21:16 . 2009-01-06 20:23 244 --ah----- C:\sqmnoopt08.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-07 15:08 --------- d---a-w c:\programdata\TEMP 2009-01-07 14:53 --------- d-----w c:\program files\Spyware Doctor 2009-01-06 19:51 --------- d-----w c:\programdata\Google Updater 2009-01-06 19:13 --------- d-----w c:\program files\InazuLog 2009-01-05 17:04 --------- d-----w c:\users\Antoine\AppData\Roaming\OpenOffice.org2 2008-12-14 17:21 --------- d-----w c:\users\Antoine\AppData\Roaming\Corel 2008-12-14 17:10 --------- d-----w c:\programdata\Corel 2008-12-14 17:10 --------- d-----w c:\program files\Corel 2008-11-20 17:15 --------- d-----w c:\users\Antoine\AppData\Roaming\dvdcss 2008-09-01 11:30 480,848 ----a-w c:\users\All Users\pswi_preloaded.exe 2008-09-01 11:30 480,848 ----a-w c:\programdata\pswi_preloaded.exe 2008-01-13 20:15 0 ----a-w c:\users\Antoine\AppData\Roaming\wklnhst.dat 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-19 39408] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvSvc"="c:\windows\system32\nvsvc.dll" [2006-12-19 90191] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-19 7766016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-19 81920] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-06-26 77824] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920] "RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184] "ECenter"="c:\dell\E-Center\EULALauncher.exe" [2007-03-16 17920] "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-26 1862144] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-06-01 257088] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 249896] "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2006-10-03 221184] "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152] "D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Corel File Shell Monitor"="c:\program files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2008-08-18 16712] "Corel Photo Downloader"="c:\program files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2008-08-18 532808] "SigmatelSysTrayApp"="sttray.exe" [2007-02-08 c:\windows\sttray.exe] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-27 113664] NETGEAR WG111v2 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v2\WG111v2.exe [2008-04-02 1261568] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "msacm.ac3filter"= ac3filter.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2335679721-3015693427-2299462462-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{364982DF-B521-489F-8633-8CDF27BE4364}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes "{741C1260-74C2-4353-9827-CCD7E8C5546E}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes "{9D42920D-3595-4D0C-B325-8DF09D730959}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{B35B12CE-E493-4A54-866B-BE1B86211DB8}c:\program files\itunes\itunes.exe"= UDP:c:\program files\itunes\itunes.exe:iTunes "UDP Query User{59DB0115-5D15-4FEA-AEA2-A0B5B2A27A29}c:\program files\itunes\itunes.exe"= TCP:c:\program files\itunes\itunes.exe:iTunes [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] "c:\Program Files\Common Files\System\sysdrv32.exe"= c:\program files\Common Files\System\sysdrv32.exe:*:Enabled:Windows Update R4 SCM_Service;SCM_Service;c:\windows\System32\WinService.exe [2008-04-02 180224] S3 RTL8187;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\System32\drivers\wg111v2.sys [2008-04-02 288768] S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-08-12 356920] --- Other Services/Drivers In Memory --- *Deregistered* - sptd . - - - - ORPHELINS SUPPRIMES - - - - BHO-{DAD4D400-78B5-4BB0-9C9C-0DC933CBA6A4} - c:\windows\system32\pmnlKcYp.dll . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.a2articles.com . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-07 16:19:17 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\audiodg.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\System32\rundll32.exe c:\windows\ehome\ehmsas.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\windows\System32\PSIService.exe c:\program files\Common Files\Protexis\License Service\PsiService_2.exe c:\program files\SigmaTel\C-Major Audio\WDM\stacsv.exe c:\windows\System32\WUDFHost.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe c:\windows\System32\conime.exe c:\program files\Internet Explorer\iexplore.exe c:\program files\Common Files\microsoft shared\Windows Live\WLLoginProxy.exe . ************************************************************************** . Heure de fin: 2009-01-07 16:23:22 - La machine a redémarré ComboFix-quarantined-files.txt 2009-01-07 15:23:19 Avant-CF: 178 199 887 872 octets libres Après-CF: 180,377,141,248 octets libres 187

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

lasouchedu85 · Answer

Malwarebytes' Anti-Malware 1.32
Version de la base de données: 1627
Windows 6.0.6000 

07/01/2009 16:38:28
mbam-log-2009-01-07 (16-38-28).txt

Type de recherche: Examen rapide
Eléments examinés: 46892
Temps écoulé: 4 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\urqRHwUo.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\pip.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\oembios.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\efcBsTLc.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

Destrio5 · Answer

---> Relance MBAM, va dans Quarantaine et supprime tout.

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

lasouchedu85 · Answer

LOG:


Logfile of random's system information tool 1.05 (written by random/random)
Run by Antoine at 2009-01-07 16:43:02
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 172 GB (75%) free of 228 GB
Total RAM: 1022 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:04, on 07/01/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Windows\sttray.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Antoine\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.a2articles.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "c:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - c:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SCM_Service - Unknown owner - C:\Windows\System32\WinService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

Destrio5 · Answer

/!\ Seul lasouchedu85 peut suivre cette procédure /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

Collect::[4]
C:\mpsn.exe

File::
C:\Windows\system32\356ad709-.txt 

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\Program Files\Common Files\System\sysdrv32.exe"=-






---> Colle la sélection dans le Bloc-notes.

---> Enregistre ce fichier sur le Bureau (Impératif)

---> Nom du fichier : CFScript
---> Type du fichier : tous les fichiers
---> Clique sur Enregistrer.
---> Quitte le bloc-notes.


2/

---> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

[*] Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

[*] Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

[*] Une fois le scan achevé, un rapport va s'afficher : poste-le.

[*] Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

lasouchedu85 · Answer

ComboFix 09-01-06.02 - Antoine 2009-01-07 16:59:49.2 - NTFSx86 Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6000.0.1252.1.1036.18.1022.434 [GMT 1:00] Lancé depuis: c:\users\Antoine\Desktop\ComboFix.exe Commutateurs utilisés :: c:\users\Antoine\Desktop\CFScript.txt * Un nouveau point de restauration a été créé FILE :: c:\windows\system32\356ad709-.txt . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\mpsn.exe c:\windows\system32\356ad709-.txt . ((((((((((((((((((((((((((((( Fichiers créés du 2008-12-07 au 2009-01-07 )))))))))))))))))))))))))))))))))))) . 2009-01-07 16:43 . 2009-01-07 16:43 d-------- C: sit 2009-01-07 16:33 . 2009-01-07 16:33 d-------- c:\users\Antoine\AppData\Roaming\Malwarebytes 2009-01-07 16:33 . 2009-01-07 16:33 d-------- c:\users\All Users\Malwarebytes 2009-01-07 16:33 . 2009-01-07 16:33 d-------- c:\programdata\Malwarebytes 2009-01-07 16:33 . 2009-01-07 16:33 d-------- c:\program files\Malwarebytes' Anti-Malware 2009-01-07 16:33 . 2009-01-04 18:38 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys 2009-01-07 16:33 . 2009-01-04 18:38 15,504 --a------ c:\windows\System32\drivers\mbam.sys 2009-01-07 16:01 . 2009-01-07 16:01 d-------- c:\program files\Trend Micro 2009-01-07 15:42 . 2009-01-07 15:42 d-------- c:\program files\MSNFix 2009-01-06 12:22 . 2009-01-06 12:22 244 --ah----- C:\sqmnoopt19.sqm 2009-01-06 12:22 . 2009-01-06 12:22 232 --ah----- C:\sqmdata19.sqm 2009-01-06 12:18 . 2009-01-06 12:18 244 --ah----- C:\sqmnoopt18.sqm 2009-01-06 12:18 . 2009-01-06 12:18 232 --ah----- C:\sqmdata18.sqm 2009-01-06 12:08 . 2009-01-06 12:08 244 --ah----- C:\sqmnoopt17.sqm 2009-01-06 12:08 . 2009-01-06 12:08 232 --ah----- C:\sqmdata17.sqm 2009-01-06 12:03 . 2009-01-06 12:03 244 --ah----- C:\sqmnoopt16.sqm 2009-01-06 12:03 . 2009-01-06 12:03 232 --ah----- C:\sqmdata16.sqm 2009-01-06 11:59 . 2009-01-06 11:59 244 --ah----- C:\sqmnoopt15.sqm 2009-01-06 11:59 . 2009-01-06 11:59 232 --ah----- C:\sqmdata15.sqm 2009-01-06 11:52 . 2009-01-06 11:52 244 --ah----- C:\sqmnoopt14.sqm 2009-01-06 11:52 . 2009-01-06 11:52 232 --ah----- C:\sqmdata14.sqm 2009-01-06 11:47 . 2009-01-06 11:47 244 --ah----- C:\sqmnoopt13.sqm 2009-01-06 11:47 . 2009-01-06 11:47 232 --ah----- C:\sqmdata13.sqm 2009-01-06 11:42 . 2009-01-06 11:42 244 --ah----- C:\sqmnoopt12.sqm 2009-01-06 11:42 . 2009-01-06 11:42 232 --ah----- C:\sqmdata12.sqm 2009-01-06 11:37 . 2009-01-06 11:37 244 --ah----- C:\sqmnoopt11.sqm 2009-01-06 11:37 . 2009-01-06 11:37 232 --ah----- C:\sqmdata11.sqm 2009-01-06 11:32 . 2009-01-06 11:32 244 --ah----- C:\sqmnoopt10.sqm 2009-01-06 11:32 . 2009-01-06 11:32 232 --ah----- C:\sqmdata10.sqm 2009-01-06 11:30 . 2009-01-06 11:30 244 --ah----- C:\sqmnoopt09.sqm 2009-01-06 11:30 . 2009-01-06 11:30 232 --ah----- C:\sqmdata09.sqm 2008-12-14 18:18 . 2008-12-30 18:01 2,828 --ahs---- c:\users\All Users\KGyGaAvL.sys 2008-12-14 18:18 . 2008-12-30 18:01 2,828 --ahs---- c:\programdata\KGyGaAvL.sys 2008-12-14 18:18 . 2008-12-30 18:01 88 -rahs---- c:\users\All Users\8BBC98B2C1.sys 2008-12-14 18:18 . 2008-12-30 18:01 88 -rahs---- c:\programdata\8BBC98B2C1.sys 2008-12-14 18:10 . 2008-12-14 18:10 d-------- c:\program files\Common Files\Protexis 2008-12-14 18:10 . 2008-12-14 18:11 d-------- c:\program files\Common Files\Corel 2008-12-08 21:16 . 2009-01-06 20:23 268 --ah----- C:\sqmdata08.sqm 2008-12-08 21:16 . 2009-01-06 20:23 244 --ah----- C:\sqmnoopt08.sqm . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-07 15:08 --------- d---a-w c:\programdata\TEMP 2009-01-07 14:53 --------- d-----w c:\program files\Spyware Doctor 2009-01-06 19:51 --------- d-----w c:\programdata\Google Updater 2009-01-06 19:13 --------- d-----w c:\program files\InazuLog 2009-01-05 17:04 --------- d-----w c:\users\Antoine\AppData\Roaming\OpenOffice.org2 2008-12-14 17:21 --------- d-----w c:\users\Antoine\AppData\Roaming\Corel 2008-12-14 17:10 --------- d-----w c:\programdata\Corel 2008-12-14 17:10 --------- d-----w c:\program files\Corel 2008-12-11 19:18 3,766 --sha-w c:\windows\System32\KGyGaAvL.sys 2008-11-20 17:15 --------- d-----w c:\users\Antoine\AppData\Roaming\dvdcss 2008-09-01 11:30 480,848 ----a-w c:\users\All Users\pswi_preloaded.exe 2008-09-01 11:30 480,848 ----a-w c:\programdata\pswi_preloaded.exe 2008-01-13 20:15 0 ----a-w c:\users\Antoine\AppData\Roaming\wklnhst.dat 2006-11-02 12:50 174 --sha-w c:\program files\desktop.ini . ((((((((((((((((((((((((((((( snapshot@2009-01-07_16.21.19.80 ))))))))))))))))))))))))))))))))))))))))) . - 2009-01-07 15:18:06 262,144 --sha-w c:\windows\ServiceProfiles\LocalService tuser.dat + 2009-01-07 16:03:13 262,144 --sha-w c:\windows\ServiceProfiles\LocalService tuser.dat + 2009-01-07 16:03:13 262,144 ---ha-w c:\windows\ServiceProfiles\LocalService tuser.dat.LOG1 - 2009-01-07 15:19:45 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService tuser.dat + 2009-01-07 16:03:14 262,144 --sha-w c:\windows\ServiceProfiles\NetworkService tuser.dat + 2009-01-07 16:03:14 262,144 ---ha-w c:\windows\ServiceProfiles\NetworkService tuser.dat.LOG1 - 2009-01-07 15:10:07 16,384 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-01-07 16:00:57 16,384 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat - 2009-01-07 15:10:07 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2009-01-07 16:00:57 32,768 --sha-w c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2009-01-07 15:10:07 16,384 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2009-01-07 16:00:57 16,384 --sha-w c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2009-01-07 14:33:32 10,960 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2335679721-3015693427-2299462462-1000_UserData.bin + 2009-01-07 16:05:07 11,136 ----a-w c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-2335679721-3015693427-2299462462-1000_UserData.bin - 2009-01-07 14:33:30 80,882 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin + 2009-01-07 16:05:07 80,968 ----a-w c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin - 2009-01-07 14:33:14 49,518 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-01-07 16:05:06 49,646 ----a-w c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2006-11-02 125440] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-19 39408] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvSvc"="c:\windows\system32 vsvc.dll" [2006-12-19 90191] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-12-19 7766016] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-12-19 81920] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2007-06-26 77824] "ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2006-10-03 81920] "RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-11-05 221184] "ECenter"="c:\dell\E-Center\EULALauncher.exe" [2007-03-16 17920] "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2007-06-26 1862144] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-06-01 257088] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 249896] "ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2006-10-03 221184] "ANIWZCS2Service"="c:\program files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 49152] "D-Link D-Link Wireless G DWA-110"="c:\program files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe" [2007-05-04 1662976] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "Corel File Shell Monitor"="c:\program files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe" [2008-08-18 16712] "Corel Photo Downloader"="c:\program files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" [2008-08-18 532808] "SigmatelSysTrayApp"="sttray.exe" [2007-02-08 c:\windows\sttray.exe] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-07-27 113664] NETGEAR WG111v2 Smart Wizard.lnk - c:\program files\NETGEAR\WG111v2\WG111v2.exe [2008-04-02 1261568] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GOEC62~1.DLL [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "msacm.ac3filter"= ac3filter.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2335679721-3015693427-2299462462-1000] "EnableNotificationsRef"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules] "{364982DF-B521-489F-8633-8CDF27BE4364}"= UDP:c:\program files\iTunes\iTunes.exe:iTunes "{741C1260-74C2-4353-9827-CCD7E8C5546E}"= TCP:c:\program files\iTunes\iTunes.exe:iTunes "{9D42920D-3595-4D0C-B325-8DF09D730959}"= c:\program files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone) "TCP Query User{B35B12CE-E493-4A54-866B-BE1B86211DB8}c:\program files\itunes\itunes.exe"= UDP:c:\program files\itunes\itunes.exe:iTunes "UDP Query User{59DB0115-5D15-4FEA-AEA2-A0B5B2A27A29}c:\program files\itunes\itunes.exe"= TCP:c:\program files\itunes\itunes.exe:iTunes [HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List] "c:\Program Files\Common Files\System\sysdrv32.exe"= c:\program files\Common Files\System\sysdrv32.exe:*:Enabled:Windows Update R4 SCM_Service;SCM_Service;c:\windows\System32\WinService.exe [2008-04-02 180224] S3 RTL8187;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter Vista Driver;c:\windows\System32\drivers\wg111v2.sys [2008-04-02 288768] S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-08-12 356920] --- Other Services/Drivers In Memory --- *Deregistered* - sptd . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.a2articles.com . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-07 17:05:41 Windows 6.0.6000 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs ------------------------ . c:\windows\System32\audiodg.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\windows\System32 undll32.exe c:\windows\ehome\ehmsas.exe c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe c:\windows\System32\PSIService.exe c:\program files\Common Files\Protexis\License Service\PsiService_2.exe c:\program files\SigmaTel\C-Major Audio\WDM\stacsv.exe c:\windows\System32\WUDFHost.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe c:\windows\System32\conime.exe . ************************************************************************** . Heure de fin: 2009-01-07 17:09:08 - La machine a redémarré ComboFix-quarantined-files.txt 2009-01-07 16:09:05 ComboFix2.txt 2009-01-07 15:23:24 Avant-CF: 179 944 112 128 octets libres Après-CF: 180,038,701,056 octets libres 191

lasouchedu85 · Answer

tu t'en sort? En tout cas merci pour ton aide, c'est vraiment sympa, en espérant que ça fonctionne !!!!

Destrio5 · Answer

---> Logo Vista (Rond bleu) > Tape Exécuter dans la barre Rechercher et valide.

---> Dans la fenêtre Exécuter, tape combofix /u et valide.

---> Désinstalle Java SE Runtime Environment 6.

---> Mets à jour Adobe Reader :
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

---> Mets à jour Java :
https://java.com/fr/

---> Installe le SP1 de Vista :
http://www.microsoft.com/DOWNLOADS/details.aspx?familyid=B0C7136D-5EBB-413B-89C9-CB3D06D12674&displaylang=fr

lasouchedu85 · Answer

comment je désinstalle Java SE Runtime Environment 6 ?

Destrio5 · Answer

Comme si tu désinstallais un programme quelconque.

lasouchedu85 · Answer

combofix => désinstallé

java Java SE Runtime Environment 6 =>désintallé

derniere version de java => installé

Adobe Reader => Je n'arrive pas a faire de mise a jour, il faut que je telecharge la version 9.0, et il y en a pour une heure

SP1 Vista=> Téléchargement en cours

Destrio5 · Answer

Ok.

lasouchedu85 · Answer

je viens de finir l'installation du SP1 Vista, et je viens de lancer l'installation de Reader 9.0. Je voulais savoir quels seront les manip à faire ensuite?

Destrio5 · Answer

---> Supprime le dossier RSIT situé dans C:\

- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.

lasouchedu85 · Answer

je n'ai pas réussi à installé la version 9.0 de Reader, je  te poste quand même l'analyse de RSIT


LOG:


Logfile of random's system information tool 1.05 (written by random/random)
Run by Antoine at 2009-01-07 20:13:21
Microsoft® Windows Vista™ Édition Familiale Premium  Service Pack 1
System drive C: has 167 GB (73%) free of 228 GB
Total RAM: 1022 MB (55% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:13:33, on 07/01/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\sttray.exe
C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Windows\System32undll32.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Windows\System32\wsqmcons.exe
C:\Users\Antoine\Desktop\Antoine\logiciel\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Antoine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8&rlz=1T4DAFR_frFR288FR288&gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ECenter] c:\dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] c:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Corel File Shell Monitor] C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32
vsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Corel Photo Downloader] "C:\Program Files\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = ?
O13 - Gopher Prefix: 
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DSBrokerService - Unknown owner - C:\Program Files\DellSupport\brkrsvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: SCM_Service - Unknown owner - C:\Windows\System32\WinService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

lasouchedu85 · Answer

Destrio5 ???

Destrio5 · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:services
SCM_Service

:files 
C:\Windows\System32\WinService.exe 

:reg
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"c:\Program Files\Common Files\System\sysdrv32.exe"=-

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

lasouchedu85 · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
Service SCM_Service stopped successfully.
Service SCM_Service deleted successfully.
========== FILES ==========
C:\Windows\System32\WinService.exe moved successfully.
========== REGISTRY ==========
Registry key HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01072009_205505

Destrio5 · Answer

Ton PC va comment ?

lasouchedu85 · Answer

pour l'instant il tourne bien, même mieux je dois dire, je relance msn, voir si il fonctionne bien, et je te tiens au courant

lasouchedu85 · Answer

A priori ça fonctionne, je crois que le problème et résolu, et je te remercie sincerement pour ton aide !!!! Quel était le problème alors? Un virus connu?

Destrio5 · Answer

Je vais te faire une dernière procédure.

"Quel était le problème alors? Un virus connu?"
---> Oui, du Vundo à cause de l'infection MSN.

lasouchedu85 · Answer

derniere procédure?

Destrio5 · Answer

1/

---> Désinstalle HijackThis.

---> Télécharge OTCleanIt sur ton Bureau :
* Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur.
* Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.
* Redémarre ton PC comme demandé.


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.commentcamarche.net/faq/sujet 13214 desactiver reactiver la restauration systeme de vista

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://forums.cnetfrance.fr


4/

Version française d'Antivir :
http://www.commentcamarche.net/telecharger/telecharger 55 antivir

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Comme navigateur, utilise plutôt Mozilla Firefox qu'Internet Explorer. Tu peux utiliser l'extension Noscript pour plus de sécurité.

Tu peux aussi modifier le fichier Hosts pour améliorer la sécurité de ton PC :
http://www.commentcamarche.net/faq/sujet 5993 modifier son fichier hosts
https://blog.sosordi.net/category/articles

Par rapport au P2P :
http://www.libellules.ch/...

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) :
https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf


Sois plus vigilant sur Internet ;)

lasouchedu85 · Answer

Un grand merci à toi, et maintenant je n'ouvre plus de fichier ou de lien douteux

Destrio5 · Answer

Bonne soirée ;)

Virus msn phot facebook

29 réponses

Discussions similaires

Newsletters