rss
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Résolu

TR/Pandex.L.2, TR/Crypt.XPACK.Gen, TR/Drop.Ag

Posté par 123coco123, le mercredi 9 janvier 2008 à 12:52:29
Bonjour,
depuis 2 jours je me bagarre avec mon pc pour le desinsfecter: Antivir me donne plusieurs alerte troyen: TR/Pandex.L.2, TR/Crypt.XPACK.Gen, TR/Drop.Agent.dgo.127 et enfin TR/Vundo.dvn.1. J'ai cherché dans les forums mes rien à faire. Quelqu'un pourrait il m'aider?
Configuration: Windows XP
Firefox 2.0.0.11
ATI X850XT PE
Athlon 64 4000+
Répondre à 123coco123  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le mercredi 9 janvier 2008 à 12:56:23
Télécharge ceci :

Lien : http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Démo : http://pageperso.aol.fr/balltrap34/demohijack.htm

Choisir l'option "do a scan and a logfile", et faire un copier/coller du rapport ainsi générer sur le forum.

++

Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le mercredi 9 janvier 2008 à 13:11:19
Merci pour ta rapidité!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:35, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyy.exe
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/Obe­ronGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_ins­tmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xbxokqaj.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
End of file - 6165 bytes
Répondre à 123coco123

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le mercredi 9 janvier 2008 à 13:14:13
ok, fais un clic droit sur hijackthis.exe < renommer puis nomme le CCM.exe

et pour un nouveau hijack stp

++
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le mercredi 9 janvier 2008 à 13:17:10
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:16:22, on 09/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\ccm.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyy.exe
O2 - BHO: {61e3a090-e0c0-190a-4734-2132e02c92a4} - {4a29c20e-2312-4374-a091-0c0e090a3e16} - C:\WINDOWS\system32\roirafsf.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6CF99CB0-B45D-442F-8008-DD90AD98A49F} - C:\WINDOWS\system32\ddcyy.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/Obe­ronGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_ins­tmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\xbxokqaj.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
End of file - 7098 bytes
Répondre à 123coco123

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le mercredi 9 janvier 2008 à 13:21:09
très bien,

Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp

++
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le mercredi 9 janvier 2008 à 13:52:03
je ne l'ai pas trouvé danc c:\ mais dans c:\combofix\combofix.txt

ComboFix 08-01-09.2 - Lud 2008-01-09 13:31:36.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.555 [GMT 1:00]
Running from: C:\Documents and Settings\Lud\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data.\salesmonitor
C:\Documents and Settings\Lud\Application Data\DriveCleaner Free
C:\Documents and Settings\Lud\Application Data\DriveCleaner Free\Logs\update.log
C:\Documents and Settings\Lud\err.log
C:\Documents and Settings\Lud\ResErrors.log
C:\PROGRA~1\Wanadoo\GestMaj.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Wanadoo\GestMaj .exe
C:\Program Files\Wanadoo\Shell.exe
C:\Program Files\Wanadoo\Watch .exe
C:\Program Files\winantivirus pro 2007
C:\WINDOWS\system32\0_exception.nls
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ctfmon.exe.tmp
C:\WINDOWS\system32\ddcyy.dll
C:\WINDOWS\system32\ddcyy.exe
C:\WINDOWS\system32\jkkjk.dll
C:\WINDOWS\system32\rtstv.ini
C:\WINDOWS\system32\rtstv.ini2
C:\WINDOWS\system32\ssttu.dll
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\xbxokqaj.exe
C:\WINDOWS\system32\yycdd.ini
C:\WINDOWS\system32\yycdd.ini2

[code] <pre>
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt .exe ---> avgnt.exe
C:\Program Files\Wanadoo\GestMaj .exe ---> QooBox
C:\Program Files\Wanadoo\Shell .exe ---> Shell.exe
C:\Program Files\Wanadoo\Watch .exe ---> QooBox
C:\WINDOWS\system32\ctfmon .exe ---> ctfmon.exe
</pre> [/code]
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_RUNTIME
-------\LEGACY_SMTPDRV
-------\DomainService
-------\nm
-------\runtime
-------\smtpdrv


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-09 to 2008-01-09 ))))))))))))))))))))))))))))))))))))
.

2008-01-09 13:29 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 13:08 . 2008-01-09 13:08 <REP> d-------- C:\Program Files\Trend Micro
2008-01-09 12:49 . 2008-01-09 12:49 <REP> d-------- C:\Program Files\Avira
2008-01-09 12:46 . 2008-01-09 13:24 24,832 --a------ C:\WINDOWS\system32\drivers\Swb71.sys­
2008-01-09 12:17 . 2008-01-09 12:17 1,568,947 --a------ C:\upload_moi_LUDOVIC-KPOLFMO.tar.­gz
2008-01-09 12:01 . 2008-01-09 12:11 <REP> d-------- C:\Program Files\Navilog1
2008-01-09 11:47 . 2008-01-09 11:47 <REP> d-------- C:\Program Files\Sophos
2008-01-09 10:37 . 2008-01-09 10:51 <REP> d-------- C:\WINDOWS\system32\ActiveScan
2008-01-09 10:37 . 2008-01-09 10:39 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-01-09 10:37 . 2008-01-09 10:39 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-01-09 10:37 . 2008-01-09 10:39 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-01-09 08:56 . 2008-01-09 08:56 <REP> d-------- C:\Program Files\MSXML 6.0
2008-01-08 19:37 . 2008-01-08 19:37 <REP> d-------- C:\Program Files\Reference Assemblies
2008-01-08 19:36 . 2008-01-08 19:36 <REP> d-------- C:\c7e28b6c0af72f076f96a7c479287­76b
2008-01-08 19:35 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-08 19:02 . 2008-01-08 19:02 <REP> d-------- C:\VundoFix Backups
2008-01-08 17:09 . 2008-01-08 17:09 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-01-06 13:32 . 2004-08-03 23:00 29,056 --a------ C:\WINDOWS\system32\drivers\ip6fw.sys­
2008-01-06 13:32 . 2004-08-03 23:00 29,056 --a--c--- C:\WINDOWS\system32\dllcache\ip6fw.sy­s
2008-01-06 13:03 . 2008-01-06 13:03 <REP> d-------- C:\Program Files\SAGEM WiFi manager
2008-01-06 13:03 . 2008-01-06 13:03 <REP> d-------- C:\Program Files\SAGEM
2008-01-06 13:03 . 2006-01-18 14:09 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a6­4.sys
2008-01-06 13:03 . 2006-01-18 14:09 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a6­4.sys
2008-01-06 13:03 . 2006-01-18 14:09 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.s­ys
2008-01-06 13:03 . 2006-01-18 14:09 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.s­ys
2008-01-06 13:01 . 2005-12-22 14:45 493,440 --a------ C:\WINDOWS\system32\drivers\WlanBZ64­.SYS
2008-01-06 13:01 . 2005-12-22 14:45 402,432 --a------ C:\WINDOWS\system32\drivers\WlanBZXP­.sys
2008-01-06 12:59 . 2008-01-06 12:59 <REP> d-------- C:\Program Files\Securitoo
2008-01-05 13:16 . 2008-01-08 17:04 21,760 --a------ C:\WINDOWS\Nsv04.sys
2008-01-05 10:14 . 2008-01-08 18:51 2,034 ---hs---- C:\WINDOWS\system32\dqvwcmkf.ini
2008-01-05 10:03 . 2008-01-05 10:03 21,760 --a------ C:\WINDOWS\system32\drivers\Nsv04.sys­
2007-12-30 08:15 . 2007-12-30 08:15 268 --ah----- C:\sqmdata07.sqm
2007-12-30 08:15 . 2007-12-30 08:15 244 --ah----- C:\sqmnoopt07.sqm
2007-12-15 23:15 . 2007-12-15 23:15 268 --ah----- C:\sqmdata06.sqm
2007-12-15 23:15 . 2007-12-15 23:15 244 --ah----- C:\sqmnoopt06.sqm
2007-12-15 20:42 . 2007-12-15 20:42 244 --ah----- C:\sqmnoopt04.sqm
2007-12-15 20:42 . 2007-12-15 20:42 232 --ah----- C:\sqmdata03.sqm
2007-12-15 20:42 . 2007-12-15 20:42 172 --ah----- C:\sqmnoopt05.sqm
2007-12-15 20:42 . 2007-12-15 20:42 172 --ah----- C:\sqmdata05.sqm
2007-12-15 20:42 . 2007-12-15 20:42 136 --ah----- C:\sqmdata04.sqm
2007-12-15 20:41 . 2007-12-15 20:41 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 12:40 --------- d-----w C:\Program Files\Wanadoo
2008-01-06 12:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-04 08:20 --------- d-----w C:\Documents and Settings\Lud\Application Data\uTorrent
2007-12-07 18:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 12:34 512 ----a-w C:\ScanSectorLog.dat
2007-10-27 18:41 92,064 ----a-w C:\Documents and Settings\Lud\mqdmmdm.sys
2007-10-27 18:41 9,232 ----a-w C:\Documents and Settings\Lud\mqdmmdfl.sys
2007-10-27 18:41 79,328 ----a-w C:\Documents and Settings\Lud\mqdmserd.sys
2007-10-27 18:41 66,656 ----a-w C:\Documents and Settings\Lud\mqdmbus.sys
2007-10-27 18:41 6,208 ----a-w C:\Documents and Settings\Lud\mqdmcmnt.sys
2007-10-27 18:41 5,936 ----a-w C:\Documents and Settings\Lud\mqdmwhnt.sys
2007-10-27 18:41 4,048 ----a-w C:\Documents and Settings\Lud\mqdmcr.sys
2007-10-27 18:41 25,600 ----a-w C:\Documents and Settings\Lud\usbsermptxp.sys
2007-10-27 18:41 22,768 ----a-w C:\Documents and Settings\Lud\usbsermpt.sys
2007-02-16 19:19 278,528 ----a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
.
[code]<pre>
----a-w 153,136 2008-01-05 19:34:56 C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck .exe
----a-w 202,024 2008-01-05 19:35:15 C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor .exe
----a-w 1,836,328 2008-01-05 19:35:07 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan .exe
</pre>[/code]


((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4a29c20e-2312-4374-a091-0c0e090a3e16}]
C:\WINDOWS\system32\roirafsf.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run]
"WOOKIT"="C:\Program Files\Wanadoo\Shell.exe" [2008-01-09 13:07 122880]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"­="C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe&­quot; [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio­n\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-08-30 06:48 69632 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe" [ ]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe&quo­t; [ ]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj­.exe" [ ]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-09 13:06 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersi­on\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE&­quot; [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoo­t\Minimal\Nsv04.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoo­t\Minimal\Swb71.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion­\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"msnmsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
"WOOKIT"=C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversio­n\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.ex­e
"WOOTASKBARICON"=C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
"Creative WebCam Tray"=C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
"WOOWATCH"=C:\PROGRA~1\Wanadoo\Watch.exe
"InCD"=C:\Program Files\Ahead\InCD\InCD.exe
"SiSPower"=Rundll32.exe SiSPower.dll,ModeAgent
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe"
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
"SiSUSBRG"=C:\WINDOWS\SiSUSBrg.exe
"AGRSMMSG"=AGRSMMSG.exe
"SiS Windows KeyHook"=C:\WINDOWS\System32\keyhook.exe
"SynTPEnh"=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
"SynTPLpr"=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

R0 Nsv04;Nsv04;C:\WINDOWS\system32\Drivers\Nsv04.sys [2008-01-05 10:03]
R0 Swb71;Swb71;C:\WINDOWS\system32\Drivers\Swb71.sys [2008-01-09 13:24]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\1A.tmp []
S3 P1171VID;Creative WebCam Notebook #2;C:\WINDOWS\system32\DRIVERS\P1171Vid.sys [2004-03-19 02:00]
S3 RescueDrv;Inventel Access Point USB Rescue Driver;C:\WINDOWS\system32\Drivers\resc_dwb.sys [2003-04-24 12:03]
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 14:45]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\System32\ZDCndis5.SYS []

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-01-04 16:15:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-01-09 12:21:01 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
Répondre à 123coco123

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le mercredi 9 janvier 2008 à 13:55:24
oula ...

Télécharge SDFix sur ton bureau

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


++
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
FillPCA, le mercredi 9 janvier 2008 à 13:56:11
Salut,

Pour suivre.

FillPCA
Répondre à FillPCA

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le mercredi 9 janvier 2008 à 13:57:11
Salut ! :-)
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le jeudi 10 janvier 2008 à 13:33:31
Voila suite:


SDFix: Version 1.125

Run by Lud on 2008-01-10 at 12:55

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\Lud\Bureau\SDFix\SDFix

Safe Mode:
Checking Services:

Name:
smtpdrv

Path:
System32\DRIVERS\smtpdrv.sys

smtpdrv - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\*_exception.nls - Deleted




Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 13:24:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000086
"TracesSuccessful"=dword:00000009

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7


Remaining Services:
------------------

smtpdrv


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\standardprofile\authorizeda­pplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\shared­access\parameters\firewallpolicy\domainprofile\authorizedapp­lications\list]

Remaining Files:
---------------

File Backups: - C:\DOCUME~1\Lud\Bureau\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sun 11 Feb 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 25 Jun 2004 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 25 Jun 2004 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 25 Jun 2004 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Fri 25 Jun 2004 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Fri 25 Jun 2004 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 25 Jun 2004 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 25 Jun 2004 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 25 Jun 2004 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 25 Jun 2004 431,616 ...HR --- "C:\WINDOWS\system32\Tools\Restart.exe"
Fri 25 Jun 2004 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Tue 3 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!


et Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32, on 2008-01-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\CCM.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: {61e3a090-e0c0-190a-4734-2132e02c92a4} - {4a29c20e-2312-4374-a091-0c0e090a3e16} - C:\WINDOWS\system32\roirafsf.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {C68F9105-04FD-4B48-B6CC-2A076F711C35} (HpodPCFileCtrl2 Class) - file://D:\MEMDISC\ALBUM_A\VIEW\PLUGIN\HPODPCFC.CAB
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/Obe­ronGameHost.cab
O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - http://www.bobtv.fr/download/cfweb_www.bobtv.fr-download_ins­tmodule.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
End of file - 6472 bytes
Répondre à 123coco123

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le jeudi 10 janvier 2008 à 14:49:01
Salut

fais analyser les fichiers en gras stp :

C:\WINDOWS\system32\drivers\Swb71.sys
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\dqvwcmkf.ini
C:\WINDOWS\Nsv04.sys

et poste les rapports

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier :XXXXXXXXXXXXXXX

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

++

Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le jeudi 10 janvier 2008 à 18:45:26
Fichier ip6fw.sys reçu le 2008.01.10 18:24:04 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.11.10 2008.01.10 -
AntiVir 7.6.0.46 2008.01.10 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.09 -
AVG 7.5.0.516 2008.01.10 -
BitDefender 7.2 2008.01.10 -
CAT-QuickHeal 9.00 2008.01.10 -
ClamAV 0.91.2 2008.01.10 -
DrWeb 4.44.0.09170 2008.01.10 -
eSafe 7.0.15.0 2008.01.09 -
eTrust-Vet 31.3.5446 2008.01.10 -
Ewido 4.0 2008.01.10 -
FileAdvisor 1 2008.01.10 -
Fortinet 3.14.0.0 2008.01.10 -
F-Prot 4.4.2.54 2008.01.09 -
F-Secure 6.70.13030.0 2008.01.10 -
Ikarus T3.1.1.20 2008.01.10 -
Kaspersky 7.0.0.125 2008.01.10 -
McAfee 5204 2008.01.10 -
Microsoft 1.3109 2008.01.10 -
NOD32v2 2780 2008.01.10 -
Norman 5.80.02 2008.01.10 -
Panda 9.0.0.4 2008.01.10 -
Prevx1 V2 2008.01.10 -
Rising 20.26.32.00 2008.01.10 -
Sophos 4.24.0 2008.01.10 -
Sunbelt 2.2.907.0 2008.01.10 -
Symantec 10 2008.01.10 -
TheHacker 6.2.9.185 2008.01.09 -
VBA32 3.12.2.5 2008.01.10 -
VirusBuster 4.3.26:9 2008.01.10 -
Webwasher-Gateway 6.0.1 2008.01.10 -

Information additionnelle
File size: 29056 bytes
MD5: 4448006b6bc60e6c027932cfc38d6855
SHA1: 677304e575660642bced544266126131ff6ed75f
PEiD: -


Impossible de trouver le fichier C:\WINDOWS\system32\dqvwcmkf.ini
Pour les fichiers Swb71.sys et Nsv04.sys le site m'affiche: 0 bytes size received / Se ha recibido un archivo vacio
j'ai essayé plusieur fois et il me retourne tjrs la meme reponse.
Répondre à 123coco123

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
green day, le jeudi 10 janvier 2008 à 18:47:45
ok,

Télécharge Avira AntiRootkit Tool et dézippe-le sur ton bureau:

http://dl.antivir.de/down/windows/antivir_rootkit.zip

Ouvre le dossier antivir_rootkit créé, double-clique sur le fichier setup.exe, et suis les instructions d'installation du programme. Lorsque c'est terminé, lance l'outil par le menu démarrer / tous les programmes / Avira RootKit Detection / Avira RootKit Detection.
Vérifie que les cases "Scan files", "Scan registry", "Scan processes", "Scan all drives" et "Show progress" soient bien cochées. Clique à présent sur "Start scan" et patiente.
Lorsque le scan est terminé, clique sur "View report" et dans ta prochaine réponse, poste le contenu du rapport qui s'est ouvert.

++
Le moyen d'aimer une chose est de se dire qu'on pourrait la perdre (Gilbert Keith Chesterton)
Répondre à green day

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le vendredi 11 janvier 2008 à 11:08:29
Avira AntiRootkit Tool - Beta (1.0.1.17)

============================================================­============================================
- Scan started 2008-01-11 - 11:01
============================================================­============================================

------------------------------------------------------------­--------------------------------------------
Configuration:
------------------------------------------------------------­--------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 37.25 GB
- Working disk free size : 14.24 GB (38 %)
------------------------------------------------------------­--------------------------------------------

Scan task finished. No hidden objects detected!

------------------------------------------------------------­--------------------------------------------
Files: 0/47290
Registry items: 0/313687
Processes: 0/31
Scan time: 00:05:08
------------------------------------------------------------­--------------------------------------------
Active processes:
- niffmgty.exe (PID 5016) (Avira AntiRootkit Tool - Beta)
- System (PID 4)
- smss.exe (PID 412)
- csrss.exe (PID 468)
- winlogon.exe (PID 492)
- services.exe (PID 536)
- lsass.exe (PID 548)
- svchost.exe (PID 696)
- svchost.exe (PID 772)
- svchost.exe (PID 840)
- svchost.exe (PID 884)
- svchost.exe (PID 1096)
- explorer.exe (PID 1208)
- svchost.exe (PID 1220)
- spoolsv.exe (PID 1372)
- avguard.exe (PID 1408)
- sched.exe (PID 1644)
- mscorsvw.exe (PID 1656)
- FTRTSVC.exe (PID 1684)
- NBService.exe (PID 1708)
- svchost.exe (PID 1840)
- alg.exe (PID 312)
- SOUNDMAN.EXE (PID 864)
- avgnt.exe (PID 1036)
- WLANUTL.EXE (PID 1304)
- svchost.exe (PID 1876)
- iexplore.exe (PID 2364)
- WLLoginProxy.ex (PID 2396)
- svchost.exe (PID 2680)
- svchost.exe (PID 2756)
- avirarkd.exe (PID 4988)
============================================================­============================================
- Scan finished 2008-01-11 - 11:06
============================================================­============================================
Répondre à 123coco123

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
123coco123, le vendredi 11 janvier 2008 à 11:14:54