Ta soluce : http://www.01net.com/telecharger/windows/Securite/anti-spam/­fiches/44096.html

Ok j'essaye après reboot
merci
Freedo

Bonjour,

Malwarebytes' Anti-Malware n'as pas éliminé Win32.TDSS.rtk

Toujours présent au démarrage ! avec demande connection serveur (refusé bien sur)

Une autre astuce please

Merci
Freedo

Bonjour


1)pour vista si infection.

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection: IMPORTANT A NE SURTOUT PAS OUBLIER):

- Va dans démarrer puis panneau de configuration
- Double Clique sur l'icône "Comptes d'utilisateurs"
- Clique ensuite sur désactiver et valide.

http://www.laboratoire-microsoft.org/tips-23933-desactiver-uac-vista.html


2)pour voir télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix




3)telecharge cela:util pour voir ce qu il reste comme infection.
http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

installe le normallement comme tout autre programme dans c/programme/...............
clique sur do a scan and save a logfile, tu obtiens un rapport que tu colles.

Tant qu'on croira toutes les âneries qu'on peut nous raconter à échelle mondiale on continuera d'aller droit dans le mur voire même d accélérer sur celui ci .
 REVEIL DE NOS VIES.

Salut,

Comme je l'ai dit à totobetourne je n'ai plus de connexion internet sur le PC, j'utilise un autre.
Après activation de combofix, plus de connexion net.
j'ai lu le tuto pour réparer ma connexion manuellement...mais tjrs rien...

freedo

Bon,

j'ai restaurer le point de restauration créé par Combofix,
retour case départ, j'ai retrouvé ma connexion internet ...et mes malwares...

Je t aiderai mieux avec des rapports. merci .combo fix et hijack. Tant qu'on croira toutes les âneries qu'on peut nous raconte­r à échelle mondiale on continuera d'aller droit dans le mur­ voire même d accélérer sur celui ci .
 REVEIL DE NOS VIES.

Salut,
j'ai rééssayé Combofix le PC plante à chaque fois
ci joint rapport Hijack de ce soir:
et en dessous celui de comfix mais de ce matin :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09, on 2009-02-16
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Windows\system32\oodag.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\StkASv2K.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\vssvc.exe
C:\Windows\System32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
E:\Program Files\Acrobat 8.0\Acrobat\acrotray.exe
C:\Windows\VM30xSnap.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\freud\AppData\Roaming\twext.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\freud\Desktop\Log divers\Nettoyeur\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Program Files\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [VM30xSnap] VM30xSnap.exe Vimicro USB PC Camera (ZC030x)
O4 - HKLM\..\Run: [Babylon Client] C:\Program Files\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [userinit] C:\Users\freud\AppData\Roaming\twext.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &T&élécharger &avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &T&élécharger tout avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: &T&élécharger toute vidéo avec BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Ajouter au fichier PDF existant - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://E:\Program Files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1D4C9C8C-5515-4230-A8AE-D652D1207A50}: NameServer = 212.27.54.252,212.27.53.252
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Droppix Service - Droppix - C:\Program Files\Common Files\Droppix\DxService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\Windows\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Syntek STK1150 Service (StkASSrv) - Syntek America Inc. - C:\Windows\System32\StkASv2K.exe
End of file - 11836 bytes

Combofix :
ComboFix 09-02-15.01 - freud 2009-02-16 9:14:00.1 - NTFSx86
Microsoft® Windows Vista™ Édition Intégrale 6.0.6001.1.1252.1.1033.18.3326.2117 [GMT 1:00]
Lancé depuis: c:\users\freud\Desktop\ComboFix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated)
FW: Pare-feu personnel d'ESET *enabled*
* Un nouveau point de restauration a été créé
.
[i] ADS - Windows: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\freud\AppData\Roaming\NTuser3.exe
c:\users\freud\AppData\Roaming\twain_32
c:\users\freud\AppData\Roaming\twain_32\local.ds
c:\users\freud\AppData\Roaming\twain_32\user.ds

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-01-16 au 2009-02-16 ))))))))))))))))))))))))))))))))))))
.

2009-02-16 00:07 . 2008-12-05 05:32 428,544 --a------ c:\windows\System32\EncDec.dll
2009-02-16 00:07 . 2008-12-05 05:32 293,376 --a------ c:\windows\System32\psisdecd.dll
2009-02-16 00:07 . 2008-12-05 05:31 217,088 --a------ c:\windows\System32\psisrndr.ax
2009-02-16 00:07 . 2008-12-05 05:31 177,664 --a------ c:\windows\System32\mpg2splt.ax
2009-02-16 00:07 . 2008-12-05 05:31 80,896 --a------ c:\windows\System32\MSNP.ax
2009-02-15 10:41 . 2009-02-15 10:41 <REP> d-------- c:\users\freud\AppData\Roaming\Malwarebytes
2009-02-15 10:41 . 2009-02-15 10:41 <REP> d-------- c:\users\All Users\Malwarebytes
2009-02-15 10:41 . 2009-02-15 10:41 <REP> d-------- c:\programdata\Malwarebytes
2009-02-15 10:41 . 2009-02-15 10:41 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-02-15 10:41 . 2009-02-11 10:19 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-02-15 10:41 . 2009-02-11 10:19 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-02-11 07:32 . 2009-01-15 04:36 1,383,424 --a------ c:\windows\System32\mshtml.tlb
2009-02-11 07:32 . 2009-01-15 07:11 827,392 --a------ c:\windows\System32\wininet.dll
2009-02-03 20:56 . 2009-02-03 20:56 <REP> d-------- c:\program files\Microsoft
2009-02-03 20:50 . 2008-06-20 02:14 781,344 --a------ c:\windows\System32\PresentationNative_v0300.dll
2009-02-03 20:50 . 2008-06-20 02:14 622,080 --a------ c:\windows\System32\icardagt.exe
2009-02-03 20:50 . 2008-06-20 02:14 326,160 --a------ c:\windows\System32\PresentationHost.exe
2009-02-03 20:50 . 2008-06-20 02:14 105,016 --a------ c:\windows\System32\PresentationCFFRasterizerNative_v0300.dll
2009-02-03 20:50 . 2008-06-20 02:14 97,800 --a------ c:\windows\System32\infocardapi.dll
2009-02-03 20:50 . 2008-06-20 02:14 43,544 --a------ c:\windows\System32\PresentationHostProxy.dll
2009-02-03 20:50 . 2008-06-20 02:14 37,384 --a------ c:\windows\System32\infocardcpl.cpl
2009-02-03 20:50 . 2008-06-20 02:14 11,264 --a------ c:\windows\System32\icardres.dll
2009-02-03 20:40 . 2008-07-27 19:03 282,112 --a------ c:\windows\System32\mscoree.dll
2009-02-03 20:40 . 2008-07-27 19:03 158,720 --a------ c:\windows\System32\mscorier.dll
2009-02-03 20:40 . 2008-07-27 19:03 96,760 --a------ c:\windows\System32\dfshim.dll
2009-02-03 20:40 . 2008-07-27 19:03 83,968 --a------ c:\windows\System32\mscories.dll
2009-02-03 20:40 . 2008-07-27 19:03 41,984 --a------ c:\windows\System32\netfxperf.dll
2009-01-30 23:51 . 2009-01-30 23:51 <REP> d-------- c:\program files\Babylon
2009-01-30 23:50 . 2009-01-31 03:38 <REP> d-------- c:\users\freud\AppData\Roaming\Babylon
2009-01-30 23:50 . 2009-01-31 03:18 <REP> d-------- c:\users\All Users\Babylon
2009-01-30 23:50 . 2009-01-31 03:18 <REP> d-------- c:\programdata\Babylon
2009-01-27 21:05 . 2009-01-27 21:05 <REP> d-------- c:\program files\InterActual
2009-01-22 20:42 . 2009-01-22 20:42 <REP> d-------- c:\users\freud\AppData\Roaming\Webcammax
2009-01-22 20:42 . 2009-01-22 21:42 <REP> d-------- c:\users\All Users\WebcamMax
2009-01-22 20:42 . 2009-01-22 21:42 <REP> d-------- c:\programdata\WebcamMax
2009-01-22 20:39 . 2009-01-22 20:42 <REP> d-------- c:\program files\WebcamMax
2009-01-22 20:39 . 2008-12-18 15:02 1,051,136 --a------ c:\windows\System32\drivers\CAMTHWDM.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-15 18:44 --------- d-----w c:\users\freud\AppData\Roaming\GrabIt
2009-02-14 23:54 --------- d-----w c:\programdata\Spybot - Search & Destroy
2009-02-13 23:37 --------- d-----w c:\users\freud\AppData\Roaming\LimeWire
2009-02-11 07:00 --------- d-----w c:\programdata\Microsoft Help
2009-02-11 06:59 --------- d-----w c:\program files\Windows Mail
2009-01-28 20:45 --------- d-----w c:\programdata\DVD Shrink
2009-01-13 18:44 --------- d-----w c:\programdata\SlySoft
2009-01-13 18:39 --------- d-----w c:\program files\SlySoft
2009-01-13 17:51 --------- d-----w c:\programdata\CyberLink
2009-01-11 22:01 --------- d-----w c:\users\freud\AppData\Roaming\Autodesk
2009-01-08 21:11 103,488 ----a-w c:\windows\system32\drivers\AnyDVD.sys
2009-01-03 20:38 --------- d-----w c:\program files\Common Files\SureThing Shared
2009-01-03 20:35 --------- d-----w c:\programdata\Pinnacle
2009-01-03 20:30 --------- d-----w c:\program files\Pinnacle
2009-01-03 19:48 --------- d-----w c:\users\freud\AppData\Roaming\DivX
2009-01-03 19:43 --------- d-----w c:\programdata\Pinnacle Studio Ultimate
2009-01-03 19:43 --------- d-----w c:\program files\Common Files\Pinnacle
2009-01-03 19:34 --------- d-----w c:\programdata\Studio 12
2009-01-03 19:34 --------- d-----w c:\programdata\Pinnacle Studio Plus
2009-01-03 19:34 --------- d-----w c:\program files\Common Files\Yahoo!
2009-01-02 12:44 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-02 12:34 --------- d-----w c:\programdata\PC Drivers HeadQuarters
2009-01-02 12:34 --------- d-----w c:\program files\PC Drivers HeadQuarters
2009-01-02 12:25 --------- d-----w c:\program files\EZCAP
2009-01-02 02:15 24,872 ----a-w c:\windows\system32\drivers\ElbyCDIO.sys
2009-01-02 01:30 --------- d-----w c:\program files\CCleaner
2008-12-29 19:40 --------- d-----w c:\program files\CSO-DAX Compressor
2008-12-24 10:03 --------- d-----w c:\program files\Common Files\DVDVideoSoft
2008-12-24 10:02 --------- d-----w c:\program files\DVDVideoSoft
2008-12-23 20:02 --------- d-----w c:\program files\HomePlayer
2008-12-22 17:40 --------- d-----w c:\program files\Eagletron
2008-12-21 14:38 --------- d-----w c:\program files\Lavasoft
2008-12-21 14:25 --------- d-----w c:\programdata\FLEXnet
2008-12-20 11:43 --------- d-----w c:\users\freud\AppData\Roaming\ZoomBrowser EX
2008-12-20 11:28 --------- d-----w c:\programdata\ZoomBrowser
2008-12-16 02:42 288,768 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-14 17:13 410,984 ----a-w c:\windows\System32\deploytk.dll
2008-12-07 13:36 107,888 ----a-w c:\windows\System32\CmdLineExt.dll
2008-11-19 17:21 93,128 ----a-w c:\windows\System32\ElbyCDIO.dll
2008-07-24 21:21 174 ----a-w c:\users\freud\AppData\Roaming\shedl.bat
2008-07-24 21:20 1,695,744 ----a-w c:\users\freud\AppData\Roaming\NTuser.exe
2008-07-05 17:56 22,328 ----a-w c:\users\freud\AppData\Roaming\PnkBstrK.sys
2008-07-05 17:53 103,736 ----a-w c:\users\freud\AppData\Roaming\PnkBstrB.exe
2008-06-10 21:35 158 ----a-w c:\users\freud\Go6 XP Script.Bat
2008-03-30 02:20 174 --sha-w c:\program files\desktop.ini
2008-01-19 07:38 327,168 ----a-r c:\users\freud\AppData\Roaming\twext.exe
2007-08-26 17:04 200,539,952 ----a-w c:\users\freud\lp-fr-fr_c5197c4631ff183b3a315f2187a6f02856bb697c.exe
2001-09-03 11:09 73,728 ----a-w c:\users\freud\NT6tunnel.exe
2006-05-03 09:06 163,328 --sh--r c:\windows\System32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r c:\windows\System32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w c:\windows\System32\Smab0.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2007-08-16 167368]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-03-27 36352]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-02-20 1443072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-14 136600]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13580832]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 92704]
"Acrobat Assistant 8.0"="e:\program files\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Babylon Client"="c:\program files\Babylon\Babylon-Pro\Babylon.exe" [2008-12-18 3961064]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
"RtHDVCpl"="RtHDVCpl.exe" [2008-07-03 c:\windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2008-06-25 c:\windows\SkyTel.exe]
"VM30xSnap"="VM30xSnap.exe" [2007-02-15 c:\windows\VM30xSnap.exe]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-08-07 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm
"VIDC.ACDV"= ACDV.dll
"vidc.mjpg"= pvmjpg30.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0lsdelete\[u]0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{D71F785E-FBFB-4BC9-AC93-6DEEFC6D01EA}"= c:\program files\Cyberlink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"TCP Query User{3BB5E409-5C84-4364-951B-AB13DBF1BA6D}c:\\program files\\homeplayer1.5.4\\homeplayer.exe"= UDP:c:\program files\homeplayer1.5.4\homeplayer.exe:HomePlayer
"UDP Query User{DD36C2B4-5F46-46AB-B20B-3C49B7A1211C}c:\\program files\\homeplayer1.5.4\\homeplayer.exe"= TCP:c:\program files\homeplayer1.5.4\homeplayer.exe:HomePlayer
"{F5DD9430-7D27-422A-A630-56430E248B1F}"= UDP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{2888347A-AFDF-434F-B88F-95EA73B4AD18}"= TCP:c:\windows\System32\PnkBstrA.exe:PnkBstrA
"{8F568981-AFE7-4848-B3CC-23DDDA289171}"= UDP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{4DEDB190-D245-4419-8F27-FA05F172859B}"= TCP:c:\windows\System32\PnkBstrB.exe:PnkBstrB
"{DECC316D-6480-4F3F-8DC5-B5A23EFAA4A9}"= UDP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{68B7857A-31BF-4314-9773-56E15A5C672E}"= TCP:c:\program files\LimeWire\LimeWire.exe:LimeWire
"{E039AB89-6AD3-4A5F-981E-3E1121D7BE58}"= UDP:e:\program files\Activision\Call of Duty - World at War\CoDWaWmp.exe:Call of Duty(R) - World at War(TM)
"{22A2142C-69D6-469C-BFAD-A43B23507181}"= TCP:e:\program files\Activision\Call of Duty - World at War\CoDWaWmp.exe:Call of Duty(R) - World at War(TM)
"{2A4CD237-077C-4C20-8E45-2B9CB73749E1}"= UDP:e:\program files\Activision\Call of Duty - World at War\CoDWaW.exe:Call of Duty(R) - World at War(TM)
"{D91060B1-A24A-43FF-BA10-B3E8EB4AE399}"= TCP:e:\program files\Activision\Call of Duty - World at War\CoDWaW.exe:Call of Duty(R) - World at War(TM)
"{3AB4DE92-3008-4B38-9C96-CCA12DCE5268}"= UDP:c:\program files\HomePlayer\HomePlayer.exe:HomePlayer
"{F6EBAD0C-81A9-47D7-85BA-BFD78FAC6D97}"= TCP:c:\program files\HomePlayer\HomePlayer.exe:HomePlayer
"{9780D2F0-76EE-4D24-9CB3-F1FA63FADDC8}"= UDP:c:\program files\HomePlayer\VLC\vlc.exe:VLC HomePlayer
"{85F73ED7-EE92-47FD-8C15-25BAB3A87AD7}"= TCP:c:\program files\HomePlayer\VLC\vlc.exe:VLC HomePlayer
"{30413C00-C7A0-4F50-93A5-CA761583554C}"= UDP:e:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{8233519F-F4D7-4246-800B-E1F4E41AAFE0}"= TCP:e:\program files\Pinnacle\Studio 12\Programs\RM.exe:Render Manager
"{91A9244B-BEB9-4F15-A9B5-6B452D39EB70}"= UDP:e:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{4D1679CF-261C-4428-9A5B-5FC9B3B6A4C3}"= TCP:e:\program files\Pinnacle\Studio 12\Programs\Studio.exe:Studio
"{13BFA4AA-BA75-4F3A-81CD-815C9FCEE215}"= UDP:e:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi
"{6ABC7A40-0E78-4AF1-BBFF-C867F7047943}"= TCP:e:\program files\Pinnacle\Studio 12\Programs\umi.exe:umi

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};c:\program files\CyberLink\PowerDVD\[u]000.fcl [2007-11-02 23:12:32 41456]
R2 CAMTHWDM;WebcamMax, WDM Video Capture;c:\windows\System32\drivers\CAMTHWDM.sys [2009-01-22 1051136]
R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-02-20 472320]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2008-03-30 809296]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\System32\drivers\atl01v32.sys [2008-03-29 48128]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\System32\regedt32.exe [2006-11-02 9216]
S3 Droppix Service;Droppix Service;c:\program files\Common Files\Droppix\DxService.exe [2008-05-04 151552]
S3 VM30xx86;Vimicro USB PC Camera (ZC0301);c:\windows\System32\drivers\vm30xx86.sys [2008-12-19 1294464]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d972d64c-fddf-11dc-ac80-001bfc96e5e8}]
\shell\AutoRun\command - I:\Autorun.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
Contenu du dossier 'Tâches planifiées'

2009-02-15 c:\windows\Tasks\NeroLiveEpgUpdate-freud-PC_freud.job
- c:\program files\Nero\Nero 9\Nero Live\NeroLive.exe []
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: &T&élécharger &avec BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: &T&élécharger tout avec BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: &T&élécharger toute vidéo avec BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: Ajouter au fichier PDF existant - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir en Adobe PDF - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en Adobe PDF - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la cible du lien en un fichier PDF existant - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir la sélection en Adobe PDF - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir la sélection en un fichier PDF existant - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir les liens sélectionnés en fichier Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir les liens sélectionnés en un fichier PDF existant - e:\program files\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Translate with &Babylon - c:\program files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
TCP: {1D4C9C8C-5515-4230-A8AE-D652D1207A50} = 212.27.54.252,212.27.53.252
FF - ProfilePath - c:\users\freud\AppData\Roaming\Mozilla\Firefox\Profiles\iiv1k5sr.default\
FF - prefs.js: browser.startup.homepage - hxxp://free.fr
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1460988&SearchSource=2&q=
1 fichier(s) déplacé(s).
FF - component: c:\users\freud\AppData\Roaming\Mozilla\Firefox\Profiles\iiv1k5sr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayAccessService.dll
FF - component: c:\users\freud\AppData\Roaming\Mozilla\Firefox\Profiles\iiv1k5sr.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\EbayFormSubmitObserver.dll
FF - component: c:\users\freud\AppData\Roaming\Mozilla\Firefox\Profiles\iiv1k5sr.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll
FF - component: c:\users\freud\AppData\Roaming\Mozilla\Firefox\Profiles\iiv1k5sr.default\extensions\{b2e293ee-fd7e-4c71-a714-5f4750d8d7b7}\components\FFAlert.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: e:\program files\Acrobat 8.0\Acrobat\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
Rootkit scan 2009-02-16 09:19:10
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...


c:\users\freud\AppData\Local\Temp\catchme.dll 53248 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
Heure de fin: 2009-02-16 9:22:29
ComboFix-quarantined-files.txt 2009-02-16 08:22:26

Avant-CF: 30 845 669 376 octets libres
Après-CF: 30,603,436,032 octets libres

242 --- E O F --- 2009-02-15 23:47:38

Abandonne pour combo fix.

passe cela on verra ce qu il te donne comme resultat.
passe cet antimalware, fait comme indique
Telecharges malwaresbytes antimalwares(MBAM) : egalement tres util sur pb de pub mais pas tous malheureusement

Malwarebytes Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tutoriel Malwarebytes Anti-Malware: http://forum.pcastuces.com/malwarebytes_antimalwares___tutor­iel-f31s3.htm
fais comme indique,mise a jour , scan complet en mode sans echec et les rapports.
COLLE LE RAPPORT APRES SUPPRESSION MERCI.

garde le et lance un scan tout les mois comme indique.

si tu as ad aware tu peux desinstalle car il ne reconnait plus grand chose.

Tant qu'on croira toutes les âneries qu'on peut nous raconte­r à échelle mondiale on continuera d'aller droit dans le mur­ voire même d accélérer sur celui ci .
 REVEIL DE NOS VIES.

Toujrs fidèle au poste!

ça empire...
Malwarebytes voit que dalle en mode normal..jvais essayé en sans échec

c'est ça qui me fèche...revient ts le temps, même en fixant avec hijack:

O4 - HKCU\..\Run: [userinit] C:\Users\freud\AppData\Roaming\twext.exe

va falloir que je trouve autre chose + radical

Freedo

Up
Just for see
Thanks
Al.
Patience-Vigilance-Amour.

Bonjour,

J'ai pu me débarrasser de divers malware avec spybot en sans échec mais
twext.exe toujours actif.
Quelqu'un a une idée autre que combofix (suppression connexion internet si activé sous mon Vista).

Merci
Freedo

Oui malwarebyte comme indique message 10.

apres refais un rapport hijack. Tant qu'on croira toutes les âneries qu'on peut nous raconte­r à échelle mondiale on continuera d'aller droit dans le mur­ voire même d accélérer sur celui ci .
 REVEIL DE NOS VIES.

Bonjour vous deux

Freedo, je t'avais posté un MP ==> lis-le (regarde le haut à droite de la page CCM, clic sur l'enveloppe qui clignote).
Procédure que je ne peux pas publier !

Et pour ComboFix, une fois son icône exécutable sur le bureau, tu peux débrancher physiquement ta connexion au Net, et lancer l'analyse à partir de l'icône.

Al
Patience-Vigilance-Amour.

Salut,

à temps perdu j'ai fait les diverses investigations.

je ne repère rien de spécial dans les rapports, pas d'alerte.
mon système à l'air d'être redevenu saint...jusqu'a la prochaine...

restons sur nos garde....y'en as qui on intérêts à foutre la ..bip... dans nos PC...

merci
Freedo

Telecharges gmer

http://www.gmer.net/files.php

tutorial ici

http://www.malekal.com/supprimer_rootkit_windows.php


Dezippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Les lignes rouges indiquent la presence d'un rootkit

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

Bonjour,

je reprends la discussion, mon système n'a pas l'air clean comme je l'ai dit plus haut...
Eset me trouve ça : "time dead warn default" dans app data, bien sûr il ne peut pas nettoyer ou suppr!

Je vais suivre vos conseils et faire le tuto gmer de loloetseb
a+
Freedo

Je suis la si tu as besoin