High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

MMSAssist - virus indestructible!!

Dernière réponse le 1 déc 2006 à 21:19:35 stebbins, le 3 nov 2006 à 16:48:31 
 Signaler ce message aux modérateurs

Bonjour,


Mon pc est infesté par une saleté d'adware indestructible.

J'ai suivi les conseils glanés sur d'autres topics, j'ai fait tout mon possible mais impossible de l'éradiquer.

J'ai effectué des scans en mod sans échec, en désactivant la restauration du système et en affichant les dossiers cachés et les dossiers système, avec Avast et A² et spybot (j'ai aussi essayé adaware personnel, ewido et antivir). Tous l'ont détecté, je fais supprimer ou mise en quarantaine à chaque fois, mais à chaque nouveau scan, il réapparait.
Le scan en ligne ne détecte rien.


voici le rapport de a-squared:



Version - a-squared Free 2.0

Réglages Scan:

Objets: Mémoire, Traces, Cookies
Scan archives: Marche
Heuristiques: Marche
Scan ADS: Marche

Début du scan: 03/11/2006 15:28:16

C:\Program Files\mmsassist Détecter: Trace.Directory.MMSAssist
C:\Program Files\mmsassist\mms.ini Détecter: Trace.File.MMSAssist
C:\Program Files\mmsassist\mmsass~1.dll Détecter: Trace.File.MMSAssist
Value: HKEY_CLASSES_ROOT\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E19­1}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MMSAssist
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Détecter: Trace.Registry.MMSAssist
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:22 Détecter: Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:23 Détecter: Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:24 Détecter: Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:45 Détecter: Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:46 Détecter: Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:47 Détecter: Trace.TrackingCookie

Scanné

Fichiers: 1220
Traces: 91541
Cookies: 119
Processus: 30

Trouver

Fichiers: 0
Traces: 5
Cookies: 6
Processus: 0
Clés de Registre: 0

Fin du Scan: 03/11/2006 15:28:52
Temps du Scan: 00:00:36

C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:22 Supprimé Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:23 Supprimé Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:24 Supprimé Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:45 Supprimé Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:46 Supprimé Trace.TrackingCookie
C:\Documents and Settings\perso\Application Data\Mozilla\Firefox\Profiles\eowckow7.default\cookies.txt:47 Supprimé Trace.TrackingCookie
Value: HKEY_CLASSES_ROOT\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MMSAssist
Value: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6671A431-5C3D-463d-A7CF-5587F9B7E191}\InprocServer32 --> ThreadingModel Supprimé Trace.Registry.MMSAssist
C:\Program Files\mmsassist\mms.ini Supprimé Trace.File.MMSAssist
C:\Program Files\mmsassist\mmsass~1.dll Supprimé Trace.File.MMSAssist
C:\Program Files\mmsassist Supprimé Trace.Directory.MMSAssist

Supprimé

Fichiers: 0
Traces: 5
Cookies: 6



Comme on peut le voir, le problème vient du dossier MMSAssist qui se trouve dans Program files. Bien sûr, impossible d'effacer, de renommer ou de déplacer ce dossier et les fichiers qu'il contient. Impossible d'effacer les clés registre qui lui sont affiliées (même avec regcleaner en mode sans échec). Quoique je fasse, il revient toujours ^^




voici le log Hijackthis


Logfile of HijackThis v1.99.1
Scan saved at 16:38:02, on 03/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\perso\Bureau\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: System Helper - {B88DBC3F-41FB-40AE-AFB0-4220E842B710} - (no file)
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


Hier à chaque démarrage d'avast, ce dernier m'indiquait que ma mémoire était infectée, et il m'ouvrait un message d'alerte à chaque fois que j'essayais d'accéder à poste de travail, panneau de configuration ou mes documents. Aujourd'hui plus rien de ce côté là heureusement, mais le virus est toujours détecté à chaque scan.

Merci à ceux qui voudront m'aider, je suis à bout ...

Meilleures réponses pour « MMSAssist virus indestructible!! » dans :
[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...
Virus et Malwares ... Le truc pour les éliminer Voir
Quel est le meilleur anti-virus ? VoirC'est une question qui est très souvent posée dans le forum et les débats sont très souvent animés. Certains pensent que les meilleurs anti-virus sont ceux ci-dessous : ANTIVIR AVAST AVG Gdata Bit Defender
Télécharger AVG Anti-Virus Voir
Télécharger Kaspersky Anti-Virus Voir
Télécharger Avast! Virus Cleaner VoirTout le monde connaît l' antivirus gratuit Avast. Son éditeur propose avast! Virus Cleaner, un nettoyeur de virus gratuit, permettant de supprimer de l'ordinateur, les infections d'une vaste gamme de virus et de vers (worms). Si, malgré toutes...
Virus - Introduction aux virus VoirVirus Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante : « Tout...
Utilitaires de désinfection des principaux virus et vers VoirQu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus...
Posez votre question Répondre

1

boulepate62, le 3 nov 2006 à 17:25:17

Salut,

Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
http://kerio.probb.fr/index.htm


Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2 (en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

http://www.bitdefender.com/scan8/ie.html
www.kerio.probb.fr 

   
Répondre à boulepate62

2

stebbins, le 3 nov 2006 à 19:20:36

Merci pour la réponse.

voici le résulta

   
Répondre à stebbins

3

stebbins, le 3 nov 2006 à 19:20:43

Merci pour la réponse.

voici le résultat du scan en ligne (qui a détecté un ver contrairement à panda)




BitDefender Online Scanner
Rapport d'analyse généré à: Fri, Nov 03, 2006 - 19:00:39
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;
statistiques
Temps 01:02:34

Fichiers 213002

Directoires 3469

Secteurs de boot 2

Archives 1247

Paquets programmes 24988

Résultats

Virus identifiés 1

Fichiers infectés 1

Fichiers suspects 0

Avertissements 0

Désinfectés 0

Fichiers effacés 1

info sur les moteurs

Définition virus

312404

Version des moteurs


AVCORE v1.0 (build 2310) (i386) (Apr 17 2006 16:24:38)

Analyse des plugins

13

Archive des plugins

38

Unpack des plugins

6

E-mail plugins

6

Système plugins

1
Paramètres d'analyse


Première action

Désinfecté

Seconde Action

Supprimé


Heuristique Oui

Acceptez les avertissements Oui

Extensions analysées


*;

Excludez les extensions


Analyse d'emails

Oui

Analyse des Archives

Oui

Analyser paquets programmes

Oui

Analyse des fichiers

Oui

Analyse de boot

Oui

Fichier analysé

Statut


C:\WINDOWS\system32\drivers\modol.sys

Infecté par: Trojan.PWS.Lmir.AII

C:\WINDOWS\system32\drivers\modol.sys

Echec de la désinfection

C:\WINDOWS\system32\drivers\modol.sys

Supprimé



je refais un scan avec a-sqared pour voir et je vous dit.

Mais le dossier MMAssist est toujours là ...

   
Répondre à stebbins

4

boulepate62, le 3 nov 2006 à 19:25:08

Ok, merci

Télécharge SmitfraudFix (enregistre le sur le "bureau")
http://siri.urz.free.fr/Fix/SmitfraudFix.zip

décompresse SmitfraudFix
Lance le fichier SmitfraudFix ou SmitfraudFix.cmd et choisis l option 1 copie le rapport ici stp


et


telecharge ça:
http://download.bleepingcomputer.com/sUBs/combofix.exe

appuyes sur "Y" pour continuer

Attends quelques minutes..un rapport va s'ouvrir enregistre son contenu, puis copie et colle le sur ici stp
www.kerio.probb.fr 

   
Répondre à boulepate62

5

stebbins, le 3 nov 2006 à 19:41:26

Ok, merci.

Voici le rapport SmitFraudFix :

SmitFraudFix v2.119

Rapport fait à 19:29:45,09, 03/11/2006
Executé à partir de C:\Documents and Settings\perso\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\perso


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\perso\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\perso\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



et le rapport combofix:



perso - 06-11-03 19:35:07,32 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Program Files\Mozilla Firefox"

((((((((((((((((((((((((((((((( Files Created from 2006-10-03 to 2006-11-03 ))))))))))))))))))))))))))))))))))


2006-11-03 19:29 53,248 --a------ C:\WINDOWS\system32\Process.exe
2006-11-03 19:29 40,960 --a------ C:\WINDOWS\system32\swsc.exe
2006-11-03 19:29 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2006-11-03 19:29 135,168 --a------ C:\WINDOWS\system32\swreg.exe
2006-11-03 19:29 1,338 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-03 17:42 143,360 --a------ C:\WINDOWS\system32\flash9.dll
2006-11-03 17:16 11,264 --a------ C:\WINDOWS\system32\fixmfs.dll
2006-11-02 00:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2006-11-01 23:03 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-28 00:10 61,440 --a------ C:\WINDOWS\system32\stdstub.dll
2006-10-28 00:10 51,712 --a------ C:\WINDOWS\system32\albus.dll
2006-10-28 00:10 49,152 --a------ C:\WINDOWS\system32\stdvote.dll
2006-10-28 00:10 32,768 --a------ C:\WINDOWS\system32\stdplay.dll
2006-10-28 00:10 28,672 --a------ C:\WINDOWS\system32\drivers\Albus.SYS
2006-10-28 00:10 16,384 --a------ C:\WINDOWS\system32\alsmt.exe
2006-10-28 00:10 106,496 --a------ C:\WINDOWS\system32\stdupnet.dll
2006-10-27 12:49 2,597 --a------ C:\WINDOWS\system32\ipconfig.vbs
2006-10-25 12:42 570,880 --a------ C:\WINDOWS\system32\adsimg01.dll
2006-10-24 22:16 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2006-10-24 22:14 54,784 --a------ C:\WINDOWS\system32\Inetwh32.dll
2006-10-24 22:14 1,044,480 --a------ C:\WINDOWS\system32\roboex32.dll
2006-10-21 23:04 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-03 19:34 -------- d-------- C:\Program Files\Mozilla Firefox
2006-11-03 17:28 -------- d-------- C:\Program Files\Sunbelt Software
2006-11-03 15:28 -------- d-------- C:\Program Files\a-squared Free
2006-11-03 13:03 -------- d-------- C:\Program Files\PeerGuardian2
2006-11-03 01:50 -------- d-------- C:\Program Files\Video Capturix Suite
2006-11-03 01:35 -------- d-------- C:\Program Files\CCleaner
2006-11-03 01:18 -------- d-------- C:\Program Files\eMule
2006-11-03 01:17 -------- d-------- C:\Program Files\CleanUp!
2006-11-02 23:08 -------- d-------- C:\Program Files\Grisoft
2006-11-02 22:50 -------- d-a------ C:\Program Files\MMSAssist
2006-11-02 22:39 -------- d-------- C:\Program Files\WinRAR
2006-11-02 21:59 -------- d-------- C:\Program Files\Internet Explorer
2006-11-02 20:10 -------- d-------- C:\Documents and Settings\perso\Application Data\Lavasoft
2006-11-02 12:23 -------- d-------- C:\Program Files\Fichiers communs\Softwin
2006-11-02 02:45 -------- d-------- C:\Program Files\RegCleaner
2006-11-02 01:39 -------- d-------- C:\Program Files\Windows Defender
2006-11-02 01:39 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-11-02 01:39 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-11-02 01:30 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-02 01:03 -------- d-------- C:\Program Files\K-Lite Codec Pack
2006-11-01 22:19 350 --a------ C:\Documents and Settings\perso\Application Data\AutoGK.ini
2006-11-01 22:11 -------- d-------- C:\Program Files\Windows Media Player
2006-11-01 21:51 -------- d-------- C:\Program Files\undelete plus
2006-10-30 19:55 -------- d-------- C:\Documents and Settings\perso\Application Data\DeepBurner
2006-10-30 19:45 -------- d-------- C:\Program Files\Astonsoft
2006-10-30 14:06 -------- d-------- C:\Documents and Settings\perso\Application Data\Image Zone Express
2006-10-29 00:07 -------- d---s---- C:\Documents and Settings\perso\Application Data\Microsoft
2006-10-28 23:12 81920 --a------ C:\WINDOWS\system32\W32N50.dll
2006-10-28 23:12 17134 --a------ C:\WINDOWS\system32\PCANDIS5.sys
2006-10-24 22:30 -------- d-------- C:\Program Files\BitComet
2006-10-24 22:27 -------- d-------- C:\Program Files\Fichiers communs
2006-10-24 22:23 -------- d-------- C:\Program Files\Fichiers communs\AOL
2006-10-24 22:23 -------- d-------- C:\Documents and Settings\perso\Application Data\AOL
2006-10-24 22:16 -------- d-------- C:\Program Files\Viewpoint
2006-10-24 22:16 -------- d-------- C:\Program Files\QuickTime
2006-10-24 22:16 -------- d-------- C:\Program Files\Learn2.com
2006-10-24 22:16 -------- d-------- C:\Program Files\Fichiers communs\aolback
2006-10-24 22:16 -------- d-------- C:\Documents and Settings\perso\Application Data\You've Got Pictures Screensaver
2006-10-24 22:15 -------- d-------- C:\Program Files\Fichiers communs\Nullsoft
2006-10-23 14:09 -------- d-------- C:\Program Files\AOLbox
2006-10-23 13:45 -------- d-------- C:\Documents and Settings\perso\Application Data\Mozilla
2006-10-14 23:48 346849 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_CounterReport_Update_HPSU.log
2006-10-14 18:35 4173 --a------ C:\Documents and Settings\perso\Application Data\HPSU_48BitScanUpdate.log
2006-10-14 18:32 524565 --a------ C:\Documents and Settings\perso\Application Data\Update_HP_RedboxHprblog_HPSU.log
2006-10-14 18:30 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-10-11 14:29 -------- d-------- C:\Program Files\Hewlett-Packard
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-24 11:21 8983 --a------ C:\WINDOWS\xtrestmd.dll
2006-09-23 12:36 -------- d-------- C:\Program Files\HP
2006-09-23 12:36 -------- d-------- C:\Program Files\Fichiers communs\HP
2006-09-22 14:29 348 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
2006-09-22 14:29 2752 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log
2006-09-22 14:29 0 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_HELPFILEREPLACE.log
2006-09-22 14:28 3915 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_IZClosingDiscError.log
2006-09-22 14:28 3144 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_InstantShareJPG.log
2006-09-22 14:25 7143 --a------ C:\Documents and Settings\perso\Application Data\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-09-22 14:05 444 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_PROTOCOL.log
2006-09-22 14:05 362 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_UI.log
2006-09-22 14:05 0 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_API.log
2006-09-22 14:05 -------- d-------- C:\Documents and Settings\perso\Application Data\HP
2006-09-22 06:44 358400 -rahs---- C:\WINDOWS\system32\soundmix.dll
2006-09-18 22:35 -------- d-------- C:\Program Files\Messenger
2006-09-18 22:32 -------- d-------- C:\Program Files\Outlook Express
2006-09-18 22:32 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-18 19:51 -------- d-------- C:\Program Files\Common Files
2006-09-18 19:24 12023296 --a------ C:\Program Files\avastsetupfre.exe
2006-09-18 19:20 5037072 --a------ C:\Program Files\spybotsd14.exe
2006-09-18 19:13 10617256 --a------ C:\Program Files\a2freesetup.exe
2006-09-18 17:01 7 --a------ C:\Documents and Settings\perso\Application Data\dapcon1.2.ini
2006-09-18 16:48 190976 --a------ C:\WINDOWS\system32\flash8.dll
2006-09-18 16:17 -------- d-------- C:\Documents and Settings\perso\Application Data\Macromedia
2006-09-18 13:39 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-11 11:10 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-31 09:56 5800 --a------ C:\WINDOWS\system32\nt.sys
2006-08-30 14:11 82080 --a------ C:\Documents and Settings\perso\Application Data\GDIPFONTCACHEV1.DAT
2006-08-25 16:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 17:17 194560 --a------ C:\WINDOWS\runsetup.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,90,01,00,00,00,00,00,00,90,01,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"EditLevel"=dword:00000000
"NoRun"=dword:00000000
"NoClose"=dword:00000000
"NoSaveSettings"=dword:00000000
"NoFileMenu"=dword:00000000
"NoCommonGroups"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"DTService"="rundll32.exe C:\\WINDOWS\\system32\\soundmix.dll,Load"
"DEFAULT"="rundll32.exe C:\\WINDOWS\\system32\\SYSPOL~1.DLL,Start"
"CONFIGURATION"="rundll32.exe C:\\WINDOWS\\system32\\tapidef.dll,Start"
"9"="C:\\WINDOWS\\system32\\Ravdm.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Kodak software updater.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Kodak software updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Kodak software updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKS~1\\7288971\\Program\\KODAKS~1.EXE "
"item"="Kodak software updater"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Logiciel Kodak EasyShare.lnk"
"backup"="C:\\WINDOWS\\pss\\Logiciel Kodak EasyShare.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKE~1\\bin\\EASYSH~1.EXE -hx"
"item"="Logiciel Kodak EasyShare"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Service Manager.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Service Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Service Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\80\\Tools\\Binn\\sqlmangr.exe /n"
"item"="Service Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\-200431]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="-200431"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\-200431.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON PictureMate 500]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_FATI9TE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9TE.EXE /P21 \"EPSON PictureMate 500\" /O6 \"USB004\" /M \"PictureMate 500\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="igfxtray"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\igfxtray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCLETray"
"hkey"="HKCU"
"command"="C:\\Program Files\\Pinnacle\\Shared Files\\InstantCDDVD\\PCLETray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IW_Drop_Icon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iwctrl"
"hkey"="HKCU"
"command"="C:\\Program Files\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe /dropdisc"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="? ????? ??Ÿ
?? ?? ????"
"hkey"="HKCU"
"command"="? ????? ??Ÿ
?? ?? ????"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Profiler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Profiler"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\Profiler.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RavAV]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeR"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\AdobeR.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rlflnmk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rlflnmk"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\rlflnmk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiMfd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiMfd"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiMfd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiSmart]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiSmart"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiSmart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Update"
"hkey"="HKLM"
"command"="C:\\Program Files\\Fichiers communs\\UPDATE2\\Update.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSASCui"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Win_Update_Program.job

Completion time: 06-11-03 19:37:04.07
C:\ComboFix.txt ... 06-11-03 19:37



un diagnostic?

   
Répondre à stebbins

6

boulepate62, le 3 nov 2006 à 20:01:11

Bon bah c'est le bordel la dedans, j'sais pas ou tu as trainé mais t'as fait une très belle récolte !

Installe le pare-feu que je t'ai donné si ce n'est pas encore fait !


Clic sur démarrer ,rechercher et supprime ces fichiers si présent:

tmp.reg
flash9.dll
fixmfs.dll
stdstub.dll
albus.dll
stdvote.dll
Albus.SYS
alsmt.exe
stdupnet.dll
sporder.dll
tapidef.dll
Ravdm.exe
Rinld.sys
rlflnmk.exe
AdobeR.exe

**Si un fichier persiste lors de la suppression fait ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Dès que c'est fait tu fais ce qui suit ci-dessous tu n'oublira pas de me dire tous les logiciels anti-spywares que tu as stp !

*** analyse compléte su système à faire ***

Fait ce scan anti-virus en ligne avec Internet Explorer, accepte l'active X; la barre anti-popup du SP2(en haut) va se mettre à clignoter, clic dessus et choisis "accepter l'active X" pour faire fonctionner le scan anti-virus.
Une fois qu'il a terminé colle le rapport ici stp

_Online Scanner
_Kaspersky Online Scanner
_My Computer

http://www.kaspersky.com/scanforvirus
www.kerio.probb.fr 

   
Répondre à boulepate62

7

stebbins, le 3 nov 2006 à 21:50:54

Voila c'est fait.


le report du scan en ligne :


Total number of scanned objects 41950
Number of viruses found 2
Number of infected objects 2 / 0
Number of suspicious objects 0
Duration of the scan process 00:44:13

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\139ba9aa882adc98955d38­835327ec03_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\2451b349b56fc545af7e14­b3b8d96615_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\2b8e25a4d025eda3b96171­34cad7bf00_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\2dd70bcc535217b681e050­78c55e8e32_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\36b829efa060d69e26e587­0327d9c9d8_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\51551ffbd4540dfaf9a331­e01cd03cc7_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\59764af8e02dd7062c891e­6a04d96b54_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\67585f502fea0880f3970d­fbc2461f15_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\735a850b88b69c9053ee5e­2966b40e8c_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\7894b3c365f5de398cf4b9­1e63e78f50_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\796f17a69283ee173d09f2­a129642405_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\7de495668bd44da386d62e­fdef409ab5_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\82eb7174f1e29ad80671ef­497edb262e_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\89aa40ceac9092f2f97f05­5df534c2e7_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\9f271a4f9999b98af1f3db­f06ba5c109_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\9f80b5c549996bd9520fe1­918e767c11_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\9fa1651b073104658d29c2­0fb9fc289f_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\9fd6a3a59cb8812c4fa5fb­c1331b58da_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\a30bce2d25aa818d32d4a8­fea4fcf463_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\a58956d64e46ca67a88758­79a5ae398c_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\af8be58d5539d1cf0efe48­ed055ee276_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\b3a683eb52ab54d518991d­3002536d5a_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\b6643ac16a40a6f31483a9­4550cb5e38_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\b7f7aaddbcbe4b0474e61c­06846511b5_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\b85c3e1e0dd29b9814b635­99b3aeab39_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\bbb97fec9597bfbe32e6ec­efe12ae83d_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\c6268d0e4313d4a559daaf­ae8d271101_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\c9ae60b8fc1584ae6b44a5­8e1795b489_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\df691722d560a380195a65­8c85e19fe8_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\f2c16002bbf68d7509b84a­8f61397eea_3d039f41-037f-4ca5-8065-0c3b9192ae6e Object is locked skipped
C:\Documents and Settings\All Users\Application Data\Microsoft\Windows Defender\Support\MPLog-11022006-013929.log Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\perso\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\perso\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\perso\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\perso\Local Settings\Historique\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\perso\Local Settings\Temp\~DFBB7E.tmp Object is locked skipped
C:\Documents and Settings\perso\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\perso\ntuser.dat Object is locked skipped
C:\Documents and Settings\perso\ntuser.dat.LOG Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked skipped
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\master.mdf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\mastlog.ldf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\model.mdf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\modellog.ldf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\tempdb.mdf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\Data\templog.ldf Object is locked skipped
C:\Program Files\Microsoft SQL Server\MSSQL\LOG\ERRORLOG Object is locked skipped
C:\RECYCLER\S-1-5-21-1645522239-329068152-725345543-1004\Dc1­9.exe Infected: Trojan-Downloader.Win32.QQHelper.ll skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\System Volume Information\_restore{9F10D46C-D11E-4625-BCB1-095FABCEB6A4}\R­P2\change.log Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\Sti_Trace.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04F­C295EE}\catdb Object is locked skipped
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\tapidef.dll Infected: Trojan-Clicker.Win32.Small.mh skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_120.dat Object is locked skipped
C:\WINDOWS\Temp\Perflib_Perfdata_71c.dat Object is locked skipped
C:\WINDOWS\wiadebug.log Object is locked skipped
C:\WINDOWS\wiaservc.log Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
Scan process completed.

On utilise ce pc pour aller sur internet que depuis 1 mois, il aura été vite infecté! (d'autant qu'on ne fait pas un surf très intensif).


J'utilise avast, spybot et A-squared.
Le bouclier de avast ne fait pas office de firewall?

qu'est-ce que je fais ensuite docteur?

   
Répondre à stebbins

8

boulepate62, le 4 nov 2006 à 00:17:47

Salut,

non Avast n'est qu'un anti-virus le bouclier ne fait pas pare-feu.

Donc il va falloir que tu télécharges un pare-feu pour sécurisé le tout

Désactive le pare-feu de Windows(SP2) il ne sert à rien puis installe celui ci pour plus de sécurité

Kerio: (pare-feu, qui reste gratuit après la periode d'essai!)
Kerio
-tutoriel: pour configurer et comprendre l'utilisation de Kerio
http://kerio.probb.fr/index.htm


Fait les mises à jour de ton Pc et voit si tu peux télécharger Internet Explorer car la version 7 est sortie!


Désactive la restauration du système:

Clic sur "demarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du systeme"

¤ coches la case "desactiver la Restauration du systéme sur tous les lecteurs", puis clic ur "appliquer"
¤ decoches la case et clic sur "appliquer" puis "ok".


Fait ce nettoyage: (à faire réguliérement)

¤Telecharges et installes ceci:
CCleaner:
Ccleaner

dans la colonne de gauche clic sur "erreurs" coches toutes les cases, puis cliques en bas sur "chercher des erreurs" une fois finit, cliques sur "reparer les erreurs" et tu aura un message pour sauvegarder ta base de registre tu dis "oui" puis tu recommences jusqu'a ce qu'il te trouve plus d'erreurs.
Les sauvegardes que tu aura faites tu pourra les supprimer si ton ordinateur n'a plus de problémes

¤Relance Ccleaner, vas dans l'onglet "nettoyeur" present sur la gauche, decoches la derniere case (Avancé si elle est cochée) puis clic sur "lancer le nettoyage"


Maintenant, que l'ont à effacés les points de restauration existant nous allons en créer un propre

Clic sur "demarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
Voilà, maintenant le point de restauration est créer si un jour tu décides tu pourra revenir en arriere à la date que tu l'as créer donc à ce jour; en fesant la marche arriére tu pourra remettre ton ordinateur à la date ou l'on à créer ce point de restauration mais tu perdra les modifications que tu aura faites entre deux.


Puis remet un rapport ComboFix stp

A++
www.kerio.probb.fr 

   
Répondre à boulepate62

9

stebbins, le 4 nov 2006 à 01:48:01

Ok, j'ai bien installé Kerio, mais je n'ai pas bien compris comment le configurer, en tout cas, il me bloque tout à accès à IE Pas grave je n'utilise que Mozilla.

J'ai fait "chercher des erreurs" avec Ccleaner, mais il ne peut pas tout effacer. Il reste toujours deux erreurs dont il ne peut s'occcuper et ce message apparait:

"Le Composant COM MMSBho.MMSAssistMenu.1 fait référence à une clé CLSID inexistante. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la valeur du registre."

Toujours cette s*** de MMSAssist.

Du coup je n'ai pas osé créer de point de restauration.

L'opération "nettoyage" avec Ccleaner se passe bien.

Je me suis rendu compte que le virus apparaissait dans la liste "ajout/suppression de programmes" sous le nom "vision communicate". Dès que j'essaie de le désinstaller j'ai une alerte avast et un message me disant qu'il est impossible de désinstaller le programme...


voici le log combo fix:

perso - 06-11-04 1:35:57,87 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\perso\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-10-04 to 2006-11-04 ))))))))))))))))))))))))))))))))))


2006-11-03 23:23 1,338 --a------ C:\WINDOWS\system32\tmp.reg
2006-11-03 22:20 143,360 --a------ C:\WINDOWS\system32\flash9.dll
2006-11-02 00:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2006-11-01 23:03 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-28 00:10 28,672 --a------ C:\WINDOWS\system32\drivers\Albus.SYS
2006-10-28 00:10 16,384 --a------ C:\WINDOWS\system32\alsmt.exe
2006-10-27 12:49 2,597 --a------ C:\WINDOWS\system32\ipconfig.vbs
2006-10-25 12:42 570,880 --a------ C:\WINDOWS\system32\adsimg01.dll
2006-10-24 22:16 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2006-10-24 22:14 54,784 --a------ C:\WINDOWS\system32\Inetwh32.dll
2006-10-24 22:14 1,044,480 --a------ C:\WINDOWS\system32\roboex32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-04 01:35 -------- d-------- C:\Program Files\PeerGuardian2
2006-11-04 01:34 -------- d-------- C:\Program Files\Mozilla Firefox
2006-11-04 00:29 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-04 00:25 -------- d-------- C:\Program Files\Jasc Software Inc
2006-11-04 00:25 -------- d-------- C:\Program Files\Fichiers communs
2006-11-04 00:18 -------- d-------- C:\Documents and Settings\perso\Application Data\Media Player Classic
2006-11-03 17:28 -------- d-------- C:\Program Files\Sunbelt Software
2006-11-03 15:28 -------- d-------- C:\Program Files\a-squared Free
2006-11-03 01:50 -------- d-------- C:\Program Files\Video Capturix Suite
2006-11-03 01:35 -------- d-------- C:\Program Files\CCleaner
2006-11-03 01:18 -------- d-------- C:\Program Files\eMule
2006-11-03 01:17 -------- d-------- C:\Program Files\CleanUp!
2006-11-02 23:08 -------- d-------- C:\Program Files\Grisoft
2006-11-02 22:50 -------- d-a------ C:\Program Files\MMSAssist
2006-11-02 22:39 -------- d-------- C:\Program Files\WinRAR
2006-11-02 21:59 -------- d-------- C:\Program Files\Internet Explorer
2006-11-02 20:10 -------- d-------- C:\Documents and Settings\perso\Application Data\Lavasoft
2006-11-02 12:23 -------- d-------- C:\Program Files\Fichiers communs\Softwin
2006-11-02 02:45 -------- d-------- C:\Program Files\RegCleaner
2006-11-02 01:39 -------- d-------- C:\Program Files\Windows Defender
2006-11-02 01:39 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-11-02 01:39 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-11-02 01:03 -------- d-------- C:\Program Files\K-Lite Codec Pack
2006-11-01 22:19 350 --a------ C:\Documents and Settings\perso\Application Data\AutoGK.ini
2006-11-01 22:11 -------- d-------- C:\Program Files\Windows Media Player
2006-11-01 21:51 -------- d-------- C:\Program Files\undelete plus
2006-10-30 19:55 -------- d-------- C:\Documents and Settings\perso\Application Data\DeepBurner
2006-10-30 19:45 -------- d-------- C:\Program Files\Astonsoft
2006-10-30 14:06 -------- d-------- C:\Documents and Settings\perso\Application Data\Image Zone Express
2006-10-29 00:07 -------- d---s---- C:\Documents and Settings\perso\Application Data\Microsoft
2006-10-28 23:12 81920 --a------ C:\WINDOWS\system32\W32N50.dll
2006-10-28 23:12 17134 --a------ C:\WINDOWS\system32\PCANDIS5.sys
2006-10-24 22:30 -------- d-------- C:\Program Files\BitComet
2006-10-24 22:23 -------- d-------- C:\Program Files\Fichiers communs\AOL
2006-10-24 22:23 -------- d-------- C:\Documents and Settings\perso\Application Data\AOL
2006-10-24 22:16 -------- d-------- C:\Program Files\QuickTime
2006-10-24 22:16 -------- d-------- C:\Program Files\Learn2.com
2006-10-24 22:16 -------- d-------- C:\Program Files\Fichiers communs\aolback
2006-10-24 22:16 -------- d-------- C:\Documents and Settings\perso\Application Data\You've Got Pictures Screensaver
2006-10-24 22:15 -------- d-------- C:\Program Files\Fichiers communs\Nullsoft
2006-10-23 14:09 -------- d-------- C:\Program Files\AOLbox
2006-10-23 13:45 -------- d-------- C:\Documents and Settings\perso\Application Data\Mozilla
2006-10-14 23:48 346849 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_CounterReport_Update_HPSU.log
2006-10-14 18:35 4173 --a------ C:\Documents and Settings\perso\Application Data\HPSU_48BitScanUpdate.log
2006-10-14 18:32 524565 --a------ C:\Documents and Settings\perso\Application Data\Update_HP_RedboxHprblog_HPSU.log
2006-10-14 18:30 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-10-11 14:29 -------- d-------- C:\Program Files\Hewlett-Packard
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-24 11:21 8983 --a------ C:\WINDOWS\xtrestmd.dll
2006-09-23 12:36 -------- d-------- C:\Program Files\HP
2006-09-23 12:36 -------- d-------- C:\Program Files\Fichiers communs\HP
2006-09-22 14:29 348 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
2006-09-22 14:29 2752 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log
2006-09-22 14:29 0 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_HELPFILEREPLACE.log
2006-09-22 14:28 3915 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_IZClosingDiscError.log
2006-09-22 14:28 3144 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_InstantShareJPG.log
2006-09-22 14:25 7143 --a------ C:\Documents and Settings\perso\Application Data\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-09-22 14:05 444 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_PROTOCOL.log
2006-09-22 14:05 362 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_UI.log
2006-09-22 14:05 0 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_API.log
2006-09-22 14:05 -------- d-------- C:\Documents and Settings\perso\Application Data\HP
2006-09-22 06:44 358400 -rahs---- C:\WINDOWS\system32\soundmix.dll
2006-09-18 22:35 -------- d-------- C:\Program Files\Messenger
2006-09-18 22:32 -------- d-------- C:\Program Files\Outlook Express
2006-09-18 22:32 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-18 19:51 -------- d-------- C:\Program Files\Common Files
2006-09-18 19:24 12023296 --a------ C:\Program Files\avastsetupfre.exe
2006-09-18 19:20 5037072 --a------ C:\Program Files\spybotsd14.exe
2006-09-18 19:13 10617256 --a------ C:\Program Files\a2freesetup.exe
2006-09-18 17:01 7 --a------ C:\Documents and Settings\perso\Application Data\dapcon1.2.ini
2006-09-18 16:48 190976 --a------ C:\WINDOWS\system32\flash8.dll
2006-09-18 16:17 -------- d-------- C:\Documents and Settings\perso\Application Data\Macromedia
2006-09-18 13:39 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-11 11:10 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-31 09:56 5800 --a------ C:\WINDOWS\system32\nt.sys
2006-08-30 14:11 82080 --a------ C:\Documents and Settings\perso\Application Data\GDIPFONTCACHEV1.DAT
2006-08-25 16:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 17:17 194560 --a------ C:\WINDOWS\runsetup.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"EditLevel"=dword:00000000
"NoRun"=dword:00000000
"NoClose"=dword:00000000
"NoFileMenu"=dword:00000000
"NoCommonGroups"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"DTService"="rundll32.exe C:\\WINDOWS\\system32\\soundmix.dll,Load"
"DEFAULT"="rundll32.exe C:\\WINDOWS\\system32\\SYSPOL~1.DLL,Start"
"CONFIGURATION"="rundll32.exe C:\\WINDOWS\\system32\\tapidef.dll,Start"
"9"="C:\\WINDOWS\\system32\\Ravdm.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Kodak software updater.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Kodak software updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Kodak software updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKS~1\\7288971\\Program\\KODAKS~1.EXE "
"item"="Kodak software updater"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Logiciel Kodak EasyShare.lnk"
"backup"="C:\\WINDOWS\\pss\\Logiciel Kodak EasyShare.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKE~1\\bin\\EASYSH~1.EXE -hx"
"item"="Logiciel Kodak EasyShare"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Service Manager.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\Démarrage\\Service Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Service Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\80\\Tools\\Binn\\sqlmangr.exe /n"
"item"="Service Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\-200431]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="-200431"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\-200431.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON PictureMate 500]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_FATI9TE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9TE.EXE /P21 \"EPSON PictureMate 500\" /O6 \"USB004\" /M \"PictureMate 500\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="igfxtray"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\igfxtray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InstantTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCLETray"
"hkey"="HKCU"
"command"="C:\\Program Files\\Pinnacle\\Shared Files\\InstantCDDVD\\PCLETray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IW_Drop_Icon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iwctrl"
"hkey"="HKCU"
"command"="C:\\Program Files\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe /dropdisc"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="?
?????
??Ÿ ??
??
????"
"hkey"="HKCU"
"command"="?
?????
??Ÿ ??
??
????"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Profiler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Profiler"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\Profiler.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RavAV]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeR"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\AdobeR.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\rlflnmk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rlflnmk"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\rlflnmk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiMfd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiMfd"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiMfd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SaiSmart]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiSmart"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiSmart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Update"
"hkey"="HKLM"
"command"="C:\\Program Files\\Fichiers communs\\UPDATE2\\Update.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSASCui"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Win_Update_Program.job

Completion time: 06-11-04 1:37:53.56
C:\ComboFix.txt ... 06-11-04 01:37
C:\ComboFix2.txt ... 06-11-03 19:37


;)

   
Répondre à stebbins

10

boulepate62, le 4 nov 2006 à 15:07:15

Salut,

Si tu as besoin d'aide pour configurer, paramètrer Kerio regarde ici ou cherche sur Google un peu t'aide rien de bien compliqué ;-)
http://kerio.probb.fr/index.htm


Clic sur démarrer, rechercher et supprime ces fichiers si présent:

Albus.SYS
alsmt.exe
adsimg01.dll
rlflnmk.exe
AdobeR.exe
200431.exe

**Si un fichier persiste lors de la suppression fait ceci:
-Redemarres ton pc, dès l'allumage de celui-ci tapote la touche F8 (ou F5 si F8 ne fonctionne pas), à l'écran qui va apparaitre choisis "mode sans echec" attends un peu.. puis vas supprimer les fichiers/dossiers qui persistaient, vides ta corbeille et redemarres normalement


Tu peux désactiver la restauration du système et faire le nettoyage pour ainsi pouvoir créer un point plus propre.
Car je te déconseille de restaurer ton ordi dans l'etat qu'il était il y a quelques temps !

Redémarre en mode sans echec, clic sur démarrer, poste de travail, C:, et supprime ce dossier:

MMSAssist

Dès que c'est fait dit moi ou tu en es stp

www.kerio.probb.fr 

   
Répondre à boulepate62

11

Qc001, le 4 nov 2006 à 18:39:42

Bonsoir stebbins :-)

Boulepate et moi avons discuté de cette infection qui te hante... Cette bestiole est complexe et bien protégée par rootkit. Plusieurs doivent formater suite à son passage :-(

J'ai un outil à te suggérer qui, souhaitons le, pourra stopper cette infection. Voici :
-------------------------------

Télécharge Boran Remover (créé par Deckard) de l'un de ces liens, et sauvegarde-le sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/boran-remover.exe
http://www.techsupportforum.com/sectools/boran-remover.exe

* Ferme toutes les fenêtres actives
* Double clique boran-remover.exe afin de lancer l'outil
* L'ordinateur va redémarrer si l'infection est identifiée
* Si l'outil est incapable de désinfecter, il redémarrera l'ordi à nouveau pour effectuer une seconde tentative
* Lorsque l'outil aura terminé, un rapport sera créé : boran.log qui se trouve dans le dossier boran-remover, qui a été créé sur ton Bureau.

Poste le contenu du rapport, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

Bon succès, et @+

   
Répondre à Qc001

12

stebbins, le 4 nov 2006 à 21:31:47

Merci pour ces réponses!!

On dirait que ça avance positivement: j'ai effacé les fichiers en question et effectué un nettoyage avec Boran Remover.
Le dossier MMSAssist a disparu de lui-ême, ainsi que le programme "Vision communicate".

voici le log Boran Remover:

Boran Remover :: 2006-10-19 :: 20
----------------------------------------------------------------
Run by perso :: 04/11/2006 @ 19:44:16,50

Found C:\WINDOWS\system32\drivers\albus.sys
Found C:\Program Files\MMSAssist\mmsass~1.dll
Found C:\Program Files\MMSAssist\mmssver.dll

Rebooting...

Attempting to disable albus.sys...
Successful!

Attempting to remove files and directories:
C:\WINDOWS\system32\almms.dat
C:\WINDOWS\system32\extern.ini
C:\Program Files\MMSAssist
C:\WINDOWS\system32\exuppsh

Cleaning Registry...
Done!


et le dernier rapport Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 21:18:38, on 04/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\perso\Bureau\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



Désormais à chaque fois que j'allume le P.C en mode nomal, ce message apparait:

"erreur de chargement de C:\Windows\system32\SYSPOL~1.dll
Le module spécifié est introuvable"


Je croise les doigts pour qu'on y soit presque (une fois que le mot "formater" est laché, ça fait froid dans le dos).

   
Répondre à stebbins

13

Qc001, le 4 nov 2006 à 23:08:17

Resalut stebbins :-)

J'aime ce que je vois. Faut juste revérifier pour constater ce qui reste (s'il en reste..).

Pour cette erreur que tu obtiens : une clé de registre tente de lancer ce module, qui semble lié à l'infection. Très peu de détails trouvés en recherche. Par contre, le fichier a été éliminé semble-t-il, donc cette erreur n'est pas critique. J'aurais aimé voir la clé par le rapport HijackThis!, mais elle n'y est pas.

Question : as-tu stoppé des processus via msconfig ? Si oui, prière de remettre en Démarrage Normal (et non Sélectif). Reposte un nouveau log HijackThis!, ainsi qu'un nouveau log de ComboFix, s'il te plaît ;-)

Note : les formatages étaient nombreux avant que l'outil ne soit disponible. J'ose croire que nous avons évité le pire :-)

@+

   
Répondre à Qc001

14

stebbins, le 5 nov 2006 à 00:37:22

Merci!

voila le log hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 00:03:07, on 05/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9TE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\perso\Bureau\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Update] C:\Program Files\Fichiers communs\UPDATE2\Update.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SaiSmart] C:\Program Files\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Program Files\Saitek\Software\SaiMfd.exe
O4 - HKLM\..\Run: [rlflnmk] C:\WINDOWS\system32\rlflnmk.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [RavAV] C:\WINDOWS\AdobeR.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Profiler] C:\Program Files\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON PictureMate 500] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9TE.EXE /P21 "EPSON PictureMate 500" /O6 "USB004" /M "PictureMate 500"
O4 - HKLM\..\Run: [-200431] C:\WINDOWS\system32\-200431.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /dropdisc
O4 - HKCU\..\Run: [InstantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Logiciel Kodak EasyShare.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



et le log combofix:



perso - 06-11-05 0:05:00,65 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Documents and Settings\perso\Bureau"

((((((((((((((((((((((((((((((( Files Created from 2006-10-04 to 2006-11-04 ))))))))))))))))))))))))))))))))))


2006-11-04 21:36 143,360 --a------ C:\WINDOWS\system32\flash9.dll
2006-11-02 00:38 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2006-11-01 23:03 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-27 12:49 2,597 --a------ C:\WINDOWS\system32\ipconfig.vbs
2006-10-24 22:16 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2006-10-24 22:14 54,784 --a------ C:\WINDOWS\system32\Inetwh32.dll
2006-10-24 22:14 1,044,480 --a------ C:\WINDOWS\system32\roboex32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-04 21:26 -------- d-------- C:\Program Files\Mozilla Firefox
2006-11-04 02:26 -------- d-------- C:\Program Files\DirectVobSub
2006-11-04 01:42 -------- d-------- C:\Program Files\PeerGuardian2
2006-11-04 00:29 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-04 00:25 -------- d-------- C:\Program Files\Jasc Software Inc
2006-11-04 00:25 -------- d-------- C:\Program Files\Fichiers communs
2006-11-04 00:18 -------- d-------- C:\Documents and Settings\perso\Application Data\Media Player Classic
2006-11-03 17:28 -------- d-------- C:\Program Files\Sunbelt Software
2006-11-03 15:28 -------- d-------- C:\Program Files\a-squared Free
2006-11-03 01:50 -------- d-------- C:\Program Files\Video Capturix Suite
2006-11-03 01:35 -------- d-------- C:\Program Files\CCleaner
2006-11-03 01:18 -------- d-------- C:\Program Files\eMule
2006-11-03 01:17 -------- d-------- C:\Program Files\CleanUp!
2006-11-02 23:08 -------- d-------- C:\Program Files\Grisoft
2006-11-02 22:39 -------- d-------- C:\Program Files\WinRAR
2006-11-02 21:59 -------- d-------- C:\Program Files\Internet Explorer
2006-11-02 20:10 -------- d-------- C:\Documents and Settings\perso\Application Data\Lavasoft
2006-11-02 12:23 -------- d-------- C:\Program Files\Fichiers communs\Softwin
2006-11-02 02:45 -------- d-------- C:\Program Files\RegCleaner
2006-11-02 01:39 -------- d-------- C:\Program Files\Windows Defender
2006-11-02 01:39 -------- d-------- C:\Program Files\Microsoft AntiSpyware
2006-11-02 01:39 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-11-02 01:03 -------- d-------- C:\Program Files\K-Lite Codec Pack
2006-11-01 22:19 350 --a------ C:\Documents and Settings\perso\Application Data\AutoGK.ini
2006-11-01 22:11 -------- d-------- C:\Program Files\Windows Media Player
2006-11-01 21:51 -------- d-------- C:\Program Files\undelete plus
2006-10-30 19:55 -------- d-------- C:\Documents and Settings\perso\Application Data\DeepBurner
2006-10-30 19:45 -------- d-------- C:\Program Files\Astonsoft
2006-10-30 14:06 -------- d-------- C:\Documents and Settings\perso\Application Data\Image Zone Express
2006-10-29 00:07 -------- d---s---- C:\Documents and Settings\perso\Application Data\Microsoft
2006-10-28 23:12 81920 --a------ C:\WINDOWS\system32\W32N50.dll
2006-10-28 23:12 17134 --a------ C:\WINDOWS\system32\PCANDIS5.sys
2006-10-24 22:30 -------- d-------- C:\Program Files\BitComet
2006-10-24 22:23 -------- d-------- C:\Program Files\Fichiers communs\AOL
2006-10-24 22:23 -------- d-------- C:\Documents and Settings\perso\Application Data\AOL
2006-10-24 22:16 -------- d-------- C:\Program Files\QuickTime
2006-10-24 22:16 -------- d-------- C:\Program Files\Learn2.com
2006-10-24 22:16 -------- d-------- C:\Program Files\Fichiers communs\aolback
2006-10-24 22:16 -------- d-------- C:\Documents and Settings\perso\Application Data\You've Got Pictures Screensaver
2006-10-24 22:15 -------- d-------- C:\Program Files\Fichiers communs\Nullsoft
2006-10-23 14:09 -------- d-------- C:\Program Files\AOLbox
2006-10-23 13:45 -------- d-------- C:\Documents and Settings\perso\Application Data\Mozilla
2006-10-14 23:48 346849 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_CounterReport_Update_HPSU.log
2006-10-14 18:35 4173 --a------ C:\Documents and Settings\perso\Application Data\HPSU_48BitScanUpdate.log
2006-10-14 18:32 524565 --a------ C:\Documents and Settings\perso\Application Data\Update_HP_RedboxHprblog_HPSU.log
2006-10-14 18:30 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-10-11 14:29 -------- d-------- C:\Program Files\Hewlett-Packard
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-24 11:21 8983 --a------ C:\WINDOWS\xtrestmd.dll
2006-09-23 12:36 -------- d-------- C:\Program Files\HP
2006-09-23 12:36 -------- d-------- C:\Program Files\Fichiers communs\HP
2006-09-22 14:29 348 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
2006-09-22 14:29 2752 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log
2006-09-22 14:29 0 --a------ C:\Documents and Settings\perso\Application Data\HelpFilesUpdatePatch_HELPFILEREPLACE.log
2006-09-22 14:28 3915 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_IZClosingDiscError.log
2006-09-22 14:28 3144 --a------ C:\Documents and Settings\perso\Application Data\PatchUpdate_InstantShareJPG.log
2006-09-22 14:25 7143 --a------ C:\Documents and Settings\perso\Application Data\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-09-22 14:05 444 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_PROTOCOL.log
2006-09-22 14:05 362 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_UI.log
2006-09-22 14:05 0 --a------ C:\Documents and Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_API.log
2006-09-22 14:05 -------- d-------- C:\Documents and Settings\perso\Application Data\HP
2006-09-22 06:44 358400 -rahs---- C:\WINDOWS\system32\soundmix.dll
2006-09-18 22:35 -------- d-------- C:\Program Files\Messenger
2006-09-18 22:32 -------- d-------- C:\Program Files\Outlook Express
2006-09-18 22:32 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-18 19:51 -------- d-------- C:\Program Files\Common Files
2006-09-18 19:24 12023296 --a------ C:\Program Files\avastsetupfre.exe
2006-09-18 19:20 5037072 --a------ C:\Program Files\spybotsd14.exe
2006-09-18 19:13 10617256 --a------ C:\Program Files\a2freesetup.exe
2006-09-18 17:01 7 --a------ C:\Documents and Settings\perso\Application Data\dapcon1.2.ini
2006-09-18 16:48 190976 --a------ C:\WINDOWS\system32\flash8.dll
2006-09-18 16:17 -------- d-------- C:\Documents and Settings\perso\Application Data\Macromedia
2006-09-18 13:39 278528 --a------ C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-11 11:10 -------- d-------- C:\Program Files\Fichiers communs\Hewlett-Packard
2006-08-31 09:56 5800 --a------ C:\WINDOWS\system32\nt.sys
2006-08-30 14:11 82080 --a------ C:\Documents and Settings\perso\Application Data\GDIPFONTCACHEV1.DAT
2006-08-25 16:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 17:17 194560 --a------ C:\WINDOWS\runsetup.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"IW_Drop_Icon"="C:\\Program Files\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe /dropdisc"
"InstantTray"="C:\\Program Files\\Pinnacle\\Shared Files\\InstantCDDVD\\PCLETray.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"Windows Defender"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"Update"="C:\\Program Files\\Fichiers communs\\UPDATE2\\Update.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"SaiSmart"="C:\\Program Files\\Saitek\\Software\\SaiSmart.exe"
"SaiMfd"="C:\\Program Files\\Saitek\\Software\\SaiMfd.exe"
"rlflnmk"="C:\\WINDOWS\\system32\\rlflnmk.exe"
"RemoteControl"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"RavAV"="C:\\WINDOWS\\AdobeR.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"Profiler"="C:\\Program Files\\Saitek\\Software\\Profiler.exe"
"PinnacleDriverCheck"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"LXSUPMON"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"EPSON PictureMate 500"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9TE.EXE /P21 \"EPSON PictureMate 500\" /O6 \"USB004\" /M \"PictureMate 500\""
"-200431"="C:\\WINDOWS\\system32\\-200431.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"EditLevel"=dword:00000000
"NoRun"=dword:00000000
"NoClose"=dword:00000000
"NoFileMenu"=dword:00000000
"NoCommonGroups"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"DTService"="rundll32.exe C:\\WINDOWS\\system32\\soundmix.dll,Load"
"DEFAULT"="rundll32.exe C:\\WINDOWS\\system32\\SYSPOL~1.DLL,Start"
"CONFIGURATION"="rundll32.exe C:\\WINDOWS\\system32\\tapidef.dll,Start"
"9"="C:\\WINDOWS\\system32\\Ravdm.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="?
?????
??Ÿ ??
??
????"
"hkey"="HKCU"
"command"="?
?????
??Ÿ ??
??
????"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Win_Update_Program.job

Completion time: 06-11-05 0:06:55.79
C:\ComboFix.txt ... 06-11-05 00:06
C:\ComboFix2.txt ... 06-11-04 01:37
C:\ComboFix3.txt ... 06-11-03 19:37


On va y arriver!

   
Répondre à stebbins

15

Malekal_morte-, le 5 nov 2006 à 01:06:43

2006-08-31 09:56 5800 --a------ C:\WINDOWS\system32\nt.sys <-- ho :)
"command"="C:\\WINDOWS\\system32\\rlflnmk.exe" etc...

QC001 j'espère que tu vas lancer relancer combofix avec l'option /wow
je l'ai jamais vu à l'oeuvre :)

Je suis curieux de voir ce que ça donnneeee !

   
Répondre à Malekal_morte-

16

Qc001, le 5 nov 2006 à 05:57:23

Salut Malekal ;-)

stebbins : nous avons fait du progrès, mais il reste des fichiers qui sont liés à une infection plus complexe que la "simple" Boran. Malekal parle d'un autre outil ; effectivement, il existe, et nous devrons le faire tourner. Celu-ci a été créé pour les infections dites "Chinoises" plus complexes. Ces infections progressent constamment, mais l'outil aussi, alors à l'attaque...

Petites notes pour Malekal : nt.sys vient d'une autre infection d'après mes recherches :
http://www.symantec.com/...

Par contre, ce rlflnmk.exe + flash9.dll + flash8.dll sont liés.
=========================

stebbins, voici la suite :

Créé un nouveau dossier sur ton Bureau et nomme-le ComboFix#1
Maintenant, déplace (Couper/coller) Combofix.exe dans ce nouveau dossier.
------------------------------

Prière de copier/coller ces instructions dans un fichier du Bloc-notes ; tu en auras besoin en mode Sans Échec.
------------------------------

Télécharge ce fichier (par sUBs)
http://download.bleepingcomputer.com/sUBs/zh/BetaB/combofix.exe

...et sauvegarde-le impérativement sur ton Bureau.

**Note importante : cet outil est unique, donc à ne pas confondre avec la version originale de ComboFix**

Redémarre en mode Sans Échec : au redémarrage, tapote la touche F8 (ou F5 si ça ne fonctionne pas avec F8). Tu verras un écran avec options de démarrages; avec les flèches du clavier, choisis "Mode sans échec" et valide avec [Entrée]. Choisis ton compte usuel.

Du mode Sans échec, clique sur Démarrer >> Exécuter, puis copie/colle cette ligne de ton fichier du Bloc-notes :

"%userprofile%\bureau\combofix.exe" /wow

Clique Ok

Lorsque l'outil aura terminé, un rapport apparaîtra. Sauvegarde-le afin de le poster dans ta prochaine réponse.

**Note: Ne pas cliquer dans la fenêtre de ComboFix alors qu'il tourne; ceci pourrait geler le programme.

Redémarre en mode Normal.

Poste un nouveau rapport HijackThis!, ainsi que le rapport de ComboFix dans ta prochaine réponse.
--------------------

Courage... et à bientôt ;-)

   
Répondre à Qc001

17

Malekal_morte-, le 5 nov 2006 à 11:38:21

Yop QC0001,

Ouaip mais nt.sys c'est aussi une infection chinoise vu les URL sur lesquelles ils se connectent d'après la page de symantec :)

youpi pour /wow on va voir ce que ça donne :)

   
Répondre à Malekal_morte-

18

stebbins, le 6 nov 2006 à 14:11:52

Merci beaucoup, je vais essayer tout ça!

(pour /wow j'ai l'impression d'ête un cobaye ^^)

Je dois m'absenter quelques jours, je vous tient au courant en fin de semaine.

Une remarque importante : depuis les derniers nettoyages, internet rame gravement, j'ai énormément de mal à me connecter à ce forum! (je suis sur un autre P.C là).

De toute évidence, tout est lié, non?


à bientot

   
Répondre à stebbins

19

stebbins, le 6 nov 2006 à 14:11:59

Merci beaucoup, je vais essayer tout ça!

(pour /wow j'ai l'impression d'ête un cobaye ^^)

Je dois m'absenter quelques jours, je vous tient au courant en fin de semaine.

Une remarque importante : depuis les derniers nettoyages, internet rame gravement, j'ai énormément de mal à me connecter à ce forum! (je suis sur un autre P.C là).

De toute évidence, tout est lié, non?


à bientot

   
Répondre à stebbins

20

stebbins, le 12 nov 2006 à 16:45:20

Bonjour.

Désolé pour mon absence (et désolé pour le double post ci-dessus).


Reprenons:

* Voici le log combofix \wow:

perso - 06-11-12 16:06:08.00 Service Pack 2
ComboFix 06.11.3W - Running from: "C:\Documents and
Settings\perso\bureau"
Command switches used :: /wow

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions
)))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\tasks\Win_Update_Program.job
C:\WINDOWS\system32\dektop.ini
C:\WINDOWS\system32\Flash8.dll
C:\WINDOWS\system32\Flash9.dll
C:\WINDOWS\system32\nt.sys
C:\WINDOWS\system32\soundmix.dll
C:\WINDOWS\system32\stdup.uni
C:\WINDOWS\system32\tapidef.dll
C:\WINDOWS\system32\wbem\ocmor.dat
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\ms_sys.dat
C:\WINDOWS\system32\rgeeihf.exe
C:\WINDOWS\system32\rundllfromwin2000.exe
C:\WINDOWS\system32\wbem\ocmor.dll
C:\Documents and Settings\All Users\Application Data\Clubmember
C:\Program Files\coolsign
C:\WINDOWS\system32\ext


((((((((((((((((((((((((((((((( Files Created from 2006-10-07 to
2006-11-07 ))))))))))))))))))))))))))))))))))


2006-11-02 00:38 23,600 --a------
C:\WINDOWS\system32\drivers\TVICHW32.SYS
2006-11-01 23:03 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll
2006-10-27 12:49 2,597 --a------ C:\WINDOWS\system32\ipconfig.vbs
2006-10-24 22:16 173,184 --a------ C:\WINDOWS\system32\ygpss.scr
2006-10-24 22:14 54,784 --a------ C:\WINDOWS\system32\Inetwh32.dll
2006-10-24 22:14 1,044,480 --a------ C:\WINDOWS\system32\roboex32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report
)))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-12 16:11 -------- d-------- C:\Program Files\Fichiers communs
2006-11-11 20:23 -------- d-------- C:\Program Files\Mozilla Firefox
2006-11-09 19:11 -------- d-------- C:\Documents and
Settings\perso\Application Data\Image Zone Express
2006-11-09 12:47 445 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1160573478_PROTOCOL.log
2006-11-09 12:47 364 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1160573478_UI.log
2006-11-09 12:47 0 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1160573478_API.log
2006-11-07 17:23 -------- d-------- C:\Program Files\PeerGuardian2
2006-11-07 15:03 -------- d-------- C:\Program Files\Fichiers
communs\System
2006-11-05 03:37 -------- d-------- C:\Program Files\combofix
2006-11-05 03:11 -------- d-------- C:\Program Files\Gabest
2006-11-04 00:29 -------- d--h----- C:\Program Files\InstallShield
Installation Information
2006-11-04 00:25 -------- d-------- C:\Program Files\Jasc Software Inc
2006-11-04 00:18 -------- d-------- C:\Documents and
Settings\perso\Application Data\Media Player Classic
2006-11-03 15:28 -------- d-------- C:\Program Files\a-squared Free
2006-11-03 01:35 -------- d-------- C:\Program Files\CCleaner
2006-11-03 01:18 -------- d-------- C:\Program Files\eMule
2006-11-02 22:39 -------- d-------- C:\Program Files\WinRAR
2006-11-02 21:59 -------- d-------- C:\Program Files\Internet Explorer
2006-11-02 20:10 -------- d-------- C:\Documents and
Settings\perso\Application Data\Lavasoft
2006-11-02 12:23 -------- d-------- C:\Program Files\Fichiers
communs\Softwin
2006-11-02 02:45 -------- d-------- C:\Program Files\RegCleaner
2006-11-02 01:39 -------- d-------- C:\Program Files\Windows Defender
2006-11-02 01:39 -------- d-------- C:\Program Files\Microsoft
AntiSpyware
2006-11-02 01:39 -------- d-------- C:\Program Files\Fichiers
communs\Microsoft Shared
2006-11-02 01:03 -------- d-------- C:\Program Files\K-Lite Codec Pack
2006-11-01 22:19 350 --a------ C:\Documents and
Settings\perso\Application Data\AutoGK.ini
2006-11-01 22:11 -------- d-------- C:\Program Files\Windows Media
Player
2006-11-01 21:51 -------- d-------- C:\Program Files\undelete plus
2006-10-30 19:55 -------- d-------- C:\Documents and
Settings\perso\Application Data\DeepBurner
2006-10-30 19:45 -------- d-------- C:\Program Files\Astonsoft
2006-10-29 00:07 -------- d---s---- C:\Documents and
Settings\perso\Application Data\Microsoft
2006-10-28 23:12 81920 --a------ C:\WINDOWS\system32\W32N50.dll
2006-10-28 23:12 17134 --a------ C:\WINDOWS\system32\PCANDIS5.sys
2006-10-24 22:30 -------- d-------- C:\Program Files\BitComet
2006-10-24 22:23 -------- d-------- C:\Program Files\Fichiers
communs\AOL
2006-10-24 22:23 -------- d-------- C:\Documents and
Settings\perso\Application Data\AOL
2006-10-24 22:16 -------- d-------- C:\Program Files\QuickTime
2006-10-24 22:16 -------- d-------- C:\Program Files\Learn2.com
2006-10-24 22:16 -------- d-------- C:\Program Files\Fichiers
communs\aolback
2006-10-24 22:16 -------- d-------- C:\Documents and
Settings\perso\Application Data\You've Got Pictures Screensaver
2006-10-24 22:15 -------- d-------- C:\Program Files\Fichiers
communs\Nullsoft
2006-10-23 14:09 -------- d-------- C:\Program Files\AOLbox
2006-10-23 13:45 -------- d-------- C:\Documents and
Settings\perso\Application Data\Mozilla
2006-10-14 23:48 346849 --a------ C:\Documents and
Settings\perso\Application Data\PatchUpdate_HP_CounterReport_Update_HPSU.log
2006-10-14 18:35 4173 --a------ C:\Documents and
Settings\perso\Application Data\HPSU_48BitScanUpdate.log
2006-10-14 18:32 524565 --a------ C:\Documents and
Settings\perso\Application Data\Update_HP_RedboxHprblog_HPSU.log
2006-10-14 18:30 139264 --a------ C:\WINDOWS\system32\hpzjrd01.dll
2006-10-11 14:29 -------- d-------- C:\Program Files\Hewlett-Packard
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------
C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 90112 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-09-25 16:37 24560 --a------
C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-23 12:36 -------- d-------- C:\Program Files\HP
2006-09-23 12:36 -------- d-------- C:\Program Files\Fichiers
communs\HP
2006-09-22 14:29 348 --a------ C:\Documents and
Settings\perso\Application Data\HelpFilesUpdatePatch_PRINTHELPWRAPPER.log
2006-09-22 14:29 2752 --a------ C:\Documents and
Settings\perso\Application Data\PatchUpdate_HP_ISRegionListUpdatelog_HPSU.log
2006-09-22 14:29 0 --a------ C:\Documents and
Settings\perso\Application Data\HelpFilesUpdatePatch_HELPFILEREPLACE.log
2006-09-22 14:28 3915 --a------ C:\Documents and
Settings\perso\Application Data\PatchUpdate_IZClosingDiscError.log
2006-09-22 14:28 3144 --a------ C:\Documents and
Settings\perso\Application Data\PatchUpdate_InstantShareJPG.log
2006-09-22 14:25 7143 --a------ C:\Documents and
Settings\perso\Application Data\GdiplusUpgrade_MSIApproach_Wrapper.log
2006-09-22 14:05 444 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_PROTOCOL.log
2006-09-22 14:05 362 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_UI.log
2006-09-22 14:05 0 --a------ C:\Documents and
Settings\perso\Application Data\Hewlett-PackardHP PSC 1400 series1157969865_API.log
2006-09-22 14:05 -------- d-------- C:\Documents and
Settings\perso\Application Data\HP
2006-09-18 22:35 -------- d-------- C:\Program Files\Messenger
2006-09-18 22:32 -------- d-------- C:\Program Files\Outlook Express
2006-09-18 19:51 -------- d-------- C:\Program Files\Common Files
2006-09-18 19:24 12023296 --a------ C:\Program Files\avastsetupfre.exe
2006-09-18 19:20 5037072 --a------ C:\Program Files\spybotsd14.exe
2006-09-18 19:13 10617256 --a------ C:\Program Files\a2freesetup.exe
2006-09-18 17:01 7 --a------ C:\Documents and
Settings\perso\Application Data\dapcon1.2.ini
2006-09-18 16:17 -------- d-------- C:\Documents and
Settings\perso\Application Data\Macromedia
2006-09-18 13:39 278528 --a------ C:\Program Files\Fichiers
communs\FDEUnInstaller.exe
2006-09-13 06:03 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-11 11:10 -------- d-------- C:\Program Files\Fichiers
communs\Hewlett-Packard
2006-08-30 14:11 82080 --a------ C:\Documents and
Settings\perso\Application Data\GDIPFONTCACHEV1.DAT
2006-08-25 16:51 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:59 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-10 17:17 194560 --a------ C:\WINDOWS\runsetup.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points
))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex]
@=""

[HKEY_CURRENT_USER\software\microsoft\internet
explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories
de composant"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware
ShellExecuteHook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000ff
"EditLevel"=dword:00000000
"NoRun"=dword:00000000
"NoClose"=dword:00000000
"NoFileMenu"=dword:00000000
"NoCommonGroups"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"0aMCPClient"="{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}"
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu
Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu
Démarrer\\Programmes\\Démarrage\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon
Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu
Démarrer^Programmes^Démarrage^Kodak software updater.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu
Démarrer\\Programmes\\Démarrage\\Kodak software updater.lnk"
"backup"="C:\\WINDOWS\\pss\\Kodak software updater.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKS~1\\7288971\\Program\\KODAKS~1.EXE
"
"item"="Kodak software updater"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu
Démarrer^Programmes^Démarrage^Logiciel Kodak EasyShare.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu
Démarrer\\Programmes\\Démarrage\\Logiciel Kodak EasyShare.lnk"
"backup"="C:\\WINDOWS\\pss\\Logiciel Kodak EasyShare.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Kodak\\KODAKE~1\\bin\\EASYSH~1.EXE -hx"
"item"="Logiciel Kodak EasyShare"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu
Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu
Démarrer\\Programmes\\Démarrage\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu
Démarrer^Programmes^Démarrage^Service Manager.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu
Démarrer\\Programmes\\Démarrage\\Service Manager.lnk"
"backup"="C:\\WINDOWS\\pss\\Service Manager.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\80\\Tools\\Binn\\sqlmangr.exe /n"
"item"="Service Manager"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\-200431]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="-200431"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\-200431.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\ctfmon.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\EPSON PictureMate 500]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="E_FATI9TE"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATI9TE.EXE
/P21 \"EPSON PictureMate 500\" /O6 \"USB004\" /M \"PictureMate 500\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\HotKeysCmds]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hkcmd"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\hkcmd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd2.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\IgfxTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="igfxtray"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\igfxtray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\InstantTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PCLETray"
"hkey"="HKCU"
"command"="C:\\Program Files\\Pinnacle\\Shared
Files\\InstantCDDVD\\PCLETray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\IW_Drop_Icon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iwctrl"
"hkey"="HKCU"
"command"="C:\\Program
Files\\Pinnacle\\InstantCDDVD\\InstantWrite\\iwctrl.exe /dropdisc"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\Load]
"key"="SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows"
"item"="?
?????
??Ÿ ??
??
????"
"hkey"="HKCU"
"command"="?
?????
??Ÿ ??
??
????"
"inimapping"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\LXSUPMON]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="LXSUPMON"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\LXSUPMON.EXE RUN"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\PinnacleDriverCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PSDrvCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\PSDrvCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\Profiler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Profiler"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\Profiler.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\RavAV]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeR"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\AdobeR.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\rlflnmk]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="rlflnmk"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\rlflnmk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\SaiMfd]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiMfd"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiMfd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\SaiSmart]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SaiSmart"
"hkey"="HKLM"
"command"="C:\\Program Files\\Saitek\\Software\\SaiSmart.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\Smapp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SMTray"
"hkey"="HKLM"
"command"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Fichiers
communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Update"
"hkey"="HKLM"
"command"="C:\\Program Files\\Fichiers communs\\UPDATE2\\Update.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared
tools\msconfig\startupreg\Windows Defender]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="MSASCui"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Windows Defender\\MSASCui.exe\" -hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll,
msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job

Completion time: 06-11-12 16:11:58.09
C:\ComboFix.txt ... 06-11-12 16:11




* et le log hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 16:18:53, on 12/11/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\Program Files\Windows Defender\MsMpEng.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
E:\Program Files\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\svchost.exe
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Program Files\Mozilla Firefox\firefox.exe
E:\Documents and Settings\souladié\Application Data\Microsoft\Internet Explorer\Quick Launch\HijackThis.exe
E:\WINDOWS\system32\msiexec.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - E:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



(pour la lenteur du P.C que je constatais la semaine dernière, il semble que ça se soit arrangée)

   
Répondre à stebbins
24 réponses 12 Suivant
Posez votre question Répondre
Ils ont besoin de votre aide