PC infecté : wowfx.dll etc... HELP MERésolu/Fermé

Question

Bonjour,


voici les rapports afin que quelqu'un puisse m'aider !

SmitFraudFix

SmitFraudFix v2.309

Rapport fait à 11:33:47,84, 31/03/2008
Executé à partir de C:\Documents and Settings\Poste_PAO\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DNHlp32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Arden Software Ltd\Impact Version 2\Impact.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

10.18.250.4	download.microsoft.com
10.18.250.4	downloads.microsoft.com
10.18.250.4	go.microsoft.com
10.18.250.4	microsoft.com
10.18.250.4	msdn.microsoft.com
10.18.250.4	office.microsoft.com
10.18.250.4	support.microsoft.com
10.18.250.4	windowsupdate.microsoft.com
10.18.250.4	www.microsoft.com
10.18.250.4	pandasoftware.com
10.18.250.4	www.pandasoftware.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\shell.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\printer.exe PRESENT !
C:\WINDOWS\system32\spoolvs.exe  PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Poste_PAO


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Poste_PAO\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\POSTE_~1\MENUDM~1\PROGRA~1\DMARRA~1\findfast.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\POSTE_~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: AvpRunOnce.dll
SSODL: AvpRunOnce - {1e8714ba-70f2-4393-8f92-59e0f95597e5}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\system32\wowfx.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1
DNS Server Search Order: 0.0.0.0

HKLM\SYSTEM\CCS\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



HiJackThis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:34, on 31/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DNHlp32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Arden Software Ltd\Impact Version 2\Impact.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32undll32.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: &WinSec Toolbar - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\wscmp.dll
O4 - HKLM\..\Run: [DNHelper32] C:\WINDOWS\system32\DNHlp32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [eigksmnk] C:\WINDOWS\system32\eigksmnk.exe
O4 - HKLM\..\Run: [gvqdupgb] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\gvqdupgb.dll"
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [kgwrindn] C:\WINDOWS\system32\kgwrindn.exe
O4 - HKLM\..\Run: [qfmpaxex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\qfmpaxex.dll"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvvac.dll,startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKLM\..\Policies\Explorer\Run: [bliEUCeiys] C:\WINDOWS\vylavqvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: démarrage commun.lnk = ? (User 'SYSTEM')
O4 - S-1-5-18 Startup: findfast.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: démarrage commun.lnk = ? (User 'Default user')
O4 - .DEFAULT Startup: findfast.exe (User 'Default user')
O4 - Startup: démarrage commun.lnk = ?
O4 - Startup: findfast.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/lookup.js
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/translate.js
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {AD5F3C4B-BD73-11D5-838B-0050042DF1E4} (HOOPS 3D Stream Control Class) - http://www.hoops3d.com/downloads/hoopsatlcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer = 192.168.1.1,0.0.0.0
O20 - AppInit_DLLs: C:\WINDOWS\system32\wowfx.dll
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL
O21 - SSODL: AvpRunOnce - {1e8714ba-70f2-4393-8f92-59e0f95597e5} - C:\WINDOWS\Installer\{1e8714ba-70f2-4393-8f92-59e0f95597e5}\AvpRunOnce.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

jlpjlp · Answer

slt


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum
________________

puis
relance smitfraudfix en mode sans echec et fais un nettoyage et colle moi le rapport

_________________
recolle un nouveau hijackthis

nickcold · Answer

[b]SDFix: Version 1.165 [/b]

Run by Poste_PAO on 31/03/2008 at 11:52

Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\POSTE_~1\Bureau\SDFix

[b]Checking Services [/b]:

Name:
ntload

Path:
\??\C:\WINDOWS\system32
tload.sys 

ntload - Deleted

Killing PID 1060 'shell.exe'


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default Desktop Wallpaper  
Resetting SecurityProviders Value 
Resetting AppInit_DLLs value 


Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\Installer\{1e8714ba-70f2-4393-8f92-59e0f95597e5}\AvpRunOnce.dll - Deleted
C:\WINDOWS\system32\WINRKQ32.dll - Deleted
C:\WINDOWS\SYSTEM32\EPONQH~1.BMP - Deleted
C:\WINDOWS\SYSTEM32\HCNIHO~1.BMP - Deleted
C:\Documents and Settings\Poste_PAO\Application Data\ultra\uninstall.bat - Deleted
C:\Documents and Settings\Poste_PAO\Bureau\BDSM galleries.URL - Deleted
C:\Documents and Settings\Poste_PAO\Bureau\Uncensored porn.URL - Deleted
C:\Program Files\IE Extensions\cj.v2.dll - Deleted
C:\WINDOWS\system32\sex1.ico - Deleted
C:\WINDOWS\system32\sex2.ico - Deleted
C:\Documents and Settings\Poste_PAO\Application Data\printer.exe  - Deleted
C:\WINDOWS\inf\ultra.inf  - Deleted
C:\WINDOWS\iTunesMusic.exe  - Deleted
C:\WINDOWS\shell.exe  - Deleted
C:\WINDOWS\system32\printer.exe  - Deleted
C:\WINDOWS\system32\spoolvs.exe  - Deleted
C:\WINDOWS\system32\update32.exe  - Deleted
C:\WINDOWS\system32\winupdate.exe  - Deleted
C:\WINDOWS\system32\xlibgfl254.dll  - Deleted
C:\WINDOWS\Tempemovalfile.bat  - Deleted
C:\WINDOWS\system32
tload.sys  - Deleted
C:\WINDOWS\system32\wowfx.dll  - Deleted



Folder C:\WINDOWS\Installer\{1e8714ba-70f2-4393-8f92-59e0f95597e5} - Removed
Folder C:\Documents and Settings\Poste_PAO\Application Data\ultra - Removed
Folder C:\Program Files\IE Extensions - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-31 11:57:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:9c,1d,18,85,06,5c,d9,e5,e6,fd,52,56,b7,12,2a,7a,14,7b,15,6b,f0,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:9c,1d,18,85,06,5c,d9,e5,e6,fd,52,56,b7,12,2a,7a,14,7b,15,6b,f0,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:9c,1d,18,85,06,5c,d9,e5,e6,fd,52,56,b7,12,2a,7a,14,7b,15,6b,f0,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000aa
"TracesSuccessful"=dword:00000004

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Canon\DIAS\CnxDIAS.exe"="C:\Program Files\Canon\DIAS\CnxDIAS.exe:*:Enabled:Canon Driver Information Assist Service"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Documents and Settings\Poste_PAO\Application Data\printer.exe"="C:\Documents and Settings\Poste_PAO\Application Data\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\printer.exe"="C:\WINDOWS\system32\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\spoolvs.exe"="C:\WINDOWS\system32\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\shell.exe"="C:\WINDOWS\shell.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\Poste_PAO\Menu D‚marrer\Programmes\D‚marrage\findfast.exe"="C:\Documents and Settings\Poste_PAO\Menu D‚marrer\Programmes\D‚marrage\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\autorun.exe"="C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\autorun.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\system32\winav.exe"="%windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\Poste_PAO\Application Data\mcrupdate.exe"="C:\Documents and Settings\Poste_PAO\Application Data\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\MSN Messenger\msnmsgr.exe"="C:\Program Files\MSN Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\Program Files\MSN Messenger\livecall.exe"="C:\Program Files\MSN Messenger\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\Documents and Settings\Poste_PAO\Application Data\printer.exe"="C:\Documents and Settings\Poste_PAO\Application Data\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\printer.exe"="C:\WINDOWS\system32\printer.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\system32\spoolvs.exe"="C:\WINDOWS\system32\spoolvs.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\WINDOWS\shell.exe"="C:\WINDOWS\shell.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\Poste_PAO\Menu D‚marrer\Programmes\D‚marrage\findfast.exe"="C:\Documents and Settings\Poste_PAO\Menu D‚marrer\Programmes\D‚marrage\findfast.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\autorun.exe"="C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\autorun.exe:*:Enabled:@xpsp2res.dll,-22019"
"%windir%\system32\winav.exe"="%windir%\system32\winav.exe:*:Enabled:@xpsp2res.dll,-22019"
"C:\Documents and Settings\Poste_PAO\Application Data\mcrupdate.exe"="C:\Documents and Settings\Poste_PAO\Application Data\mcrupdate.exe:*:Enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\POSTE_~1\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Wed 13 Oct 2004     1,694,208 ..SH. --- "C:\Program Files\MessengerOFF\msmsgs.exe"
Mon 19 Nov 2007     6,219,320 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Mon 28 Jan 2008     1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008     5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008     2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Tue 28 Aug 2007         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 15 Nov 2005        78,104 ..SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 24 Nov 2005        17,920 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setup.dll"
Thu 24 Nov 2005        12,880 A.SHR --- "C:\Program Files\Autodesk\Autodesk DWF Viewer\_Setupx.dll"

[b]Finished![/b]

jlpjlp · Answer

puis
relance smitfraudfix en mode sans echec et fais un nettoyage et colle moi le rapport

_________________
recolle un nouveau hijackthis

nickcold · Answer

SmitFraudFix v2.309

Rapport fait à 13:28:51,68, 31/03/2008
Executé à partir de C:\Documents and Settings\Poste_PAO\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\POSTE_~1\MENUDM~1\PROGRA~1\DMARRA~1\findfast.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0
HKLM\SYSTEM\CS1\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer=192.168.1.1,0.0.0.0


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

jlpjlp · Answer

recolle un nouveau hijackthis

nickcold · Answer

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:38:47, on 31/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DNHlp32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32undll32.exe
C:\WINDOWS\system32egsvr32.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Arden Software Ltd\Impact Version 2\Impact.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: (no name) - {03178341-02ED-E3D9-FC14-076C964D0A70} - C:\WINDOWS\system32\lgieltua.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0D5EDEC2-7290-427B-BB67-728D4471B008} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5447ADBC-9AD8-2D30-46C4-0979F3630B69} - C:\WINDOWS\system32\wpwbsmjl.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {8E5FEC4C-8022-4E5F-9B54-D4058B6B4C57} - C:\WINDOWS\system32\efcabaaA.dll
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DC182DAE-F74A-480C-A87F-B4C08AB2D1FF} - C:\WINDOWS\system32\fccyyWQI.dll (file missing)
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [DNHelper32] C:\WINDOWS\system32\DNHlp32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [eigksmnk] C:\WINDOWS\system32\eigksmnk.exe
O4 - HKLM\..\Run: [gvqdupgb] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\gvqdupgb.dll"
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [kgwrindn] C:\WINDOWS\system32\kgwrindn.exe
O4 - HKLM\..\Run: [qfmpaxex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\qfmpaxex.dll"
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvvac.dll,startup
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: démarrage commun.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: démarrage commun.lnk = ? (User 'Default user')
O4 - Startup: démarrage commun.lnk = ?
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/lookup.js
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/translate.js
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {AD5F3C4B-BD73-11D5-838B-0050042DF1E4} (HOOPS 3D Stream Control Class) - http://www.hoops3d.com/downloads/hoopsatlcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer = 192.168.1.1,0.0.0.0
O20 - AppInit_DLLs: iSecurity.cpl
O20 - Winlogon Notify: efcabaaA - C:\WINDOWS\SYSTEM32\efcabaaA.dll
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

nickcold · Answer

j'ai aussi une fenetre de spybot au demarrage qui mentionne la chose suivante

autoriser la modif ou la refuser
là c'est la 1ere fenetre dès que je reponds j'en aurai d'autre... pour le moment je n'ai rien répondu !

Nom de fichier actuel: 

Etat base de données: Inutile - virus, spyware, malware ou autre dévoreur de ressources
Valeur: 
Nom de fichier: system32.exe

Description
Added by the _AGOBOT-KU_ WORM! Note - has a blank entry under the Startup Item/Name field

Source: Paul Collins Startup list

jlpjlp · Answer

tu refuse


_______
tu es encore gavé!!!

_________



scan avec vundofix (colle le rapport)

Téléchargez VundoFix -> http://www.atribune.org/ccount/click.php?id=4

Double cliquez VundoFix.exe pour l'exécuter.
Quand VundoFix s'ouvre, cliquez sur le bouton Scan for Vundo.
Une fois le scan fini, cliquez sur le bouton Remove Vundo.
Vous recevrez un avertissement vous demandant si vous voulez effacer ces
fichiers répondez en cliquant sur YES
Une fois que vous avez cliqué yes, votre bureau deviendra vide au moment où il
enlève Vundo.

Quand c'est fini, il vous sera demandé de redémarrer votre ordinateur, cliquez
OK.

________________


Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Sauvegarde le sur ton bureau et pas ailleurs ! 

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic 

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider. 
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. 
____________
recolle un hijakchits

nickcold · Answer

ComboFix 08-03-30.3 - Poste_PAO 2008-03-31 15:01:20.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.658 [GMT 2:00] Endroit: C:\Documents and Settings\Poste_PAO\Bureau\killbagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-28 to 2008-03-31 )))))))))))))))))))))))))))))))))))) . 2008-03-31 13:28 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-03-31 13:28 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-03-31 13:28 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-03-31 13:28 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-03-31 13:28 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-03-31 13:28 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-03-31 13:28 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-03-31 11:50 . 2008-03-31 11:50 d-------- C:\WINDOWS\ERUNT 2008-03-31 11:21 . 2008-03-31 11:21 d-------- C:\Program Files\Lavasoft 2008-03-31 11:21 . 2008-03-31 11:22 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-03-31 11:20 . 2008-03-31 11:20 106,496 --a------ C:\WINDOWS\system32\lgieltua.dll 2008-03-31 11:20 . 2008-03-31 11:20 106,496 --a------ C:\Documents and Settings\All Users\Application Data\qfmpaxex.dll 2008-03-31 11:20 . 2008-03-31 11:20 94,208 --a------ C:\WINDOWS\system32\kgwrindn.exe 2008-03-31 10:52 . 2008-03-31 10:52 d-------- C:\Program Files\Trend Micro 2008-03-31 10:48 . 2008-03-31 13:29 2,396 --a------ C:\WINDOWS\system32 mp.reg 2008-03-31 10:30 . 2008-03-31 14:59 d-------- C:\Program Files\Spybot - Search & Destroy 2008-03-31 10:30 . 2008-03-31 14:57 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-03-31 10:25 . 2008-03-31 11:17 d-------- C:\Program Files\Yahoo! 2008-03-31 10:24 . 2008-03-31 10:25 d-------- C:\Program Files\CCleaner 2008-03-31 09:52 . 2008-03-31 09:52 d-------- C:\Program Files\iSecurity 2008-03-31 09:52 . 2008-03-31 11:11 d-------- C:\Program Files\AntiVirusPro 2008-03-31 09:52 . 2008-03-31 09:52 d-------- C:\Documents and Settings\Poste_PAO\Application Data\Anti-Virus-Pro.com 2008-03-31 09:52 . 2008-03-31 09:52 125,440 -r-hs---- C:\WINDOWS\system32\iSecurity.cpl 2008-03-31 09:50 . 2005-08-05 03:40 98,709 --a------ C:\Documents and Settings\Poste_PAO\Application Data\sysdefender.exe 2008-03-31 09:49 . 2008-03-31 09:49 110,592 --a------ C:\WINDOWS\system32\wpwbsmjl.dll 2008-03-31 09:49 . 2008-03-31 09:49 110,592 --a------ C:\Documents and Settings\All Users\Application Data\gvqdupgb.dll 2008-03-31 09:49 . 2008-03-31 09:49 102,400 --a------ C:\WINDOWS\system32\eigksmnk.exe 2008-03-31 09:49 . 2008-03-31 09:49 34,304 --a------ C:\WINDOWS\vylavqvo.exe 2008-03-28 18:00 . 2008-03-28 18:00 d-------- C:\Documents and Settings\Poste_PAO\Application Data\ATI 2008-03-28 18:00 . 2008-03-28 18:00 d-------- C:\Documents and Settings\All Users\Application Data\ATI 2008-03-28 17:59 . 2008-03-28 17:59 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-03-28 17:57 . 2008-03-28 18:02 d-------- C:\Program Files\Steam 2008-03-28 17:54 . 2008-02-25 22:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-03-28 17:42 . 2008-03-28 17:42 d-------- C:\WINDOWS\system32\FRA 2008-03-28 17:42 . 2007-10-18 16:51 126,976 --a------ C:\WINDOWS\system32\Imsmudlg.exe 2008-03-28 17:38 . 2008-03-28 17:38 d-------- C:\Intel 2008-03-28 17:37 . 2006-01-12 15:52 1,904 --------- C:\WINDOWS\system32\SetupBD.din 2008-03-28 17:34 . 2008-03-28 17:34 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-03-28 17:34 . 2008-03-28 17:34 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf 2008-03-28 17:33 . 2008-03-28 17:33 d-------- C:\Program Files\MSXML 6.0 2008-03-28 17:33 . 2008-03-28 17:33 d-------- C:\Program Files\Microsoft IntelliPoint 2008-03-28 17:33 . 2007-08-31 13:01 1,421,736 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-03-28 17:33 . 2007-08-21 02:13 21,760 --a------ C:\WINDOWS\system32\drivers\point32.sys 2008-03-28 17:33 . 2004-08-04 01:54 21,504 --a------ C:\WINDOWS\system32\drivers\hidserv.dll 2008-03-28 17:33 . 2007-08-31 12:58 18,856 --a------ C:\WINDOWS\system32\drivers uidfltr.sys 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-03-28 17:09 . 2004-08-20 11:42 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-03-28 17:09 . 2004-08-20 11:30 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-03-28 17:09 . 2005-10-26 19:41 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-03-28 17:09 . 2008-03-31 11:20 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-03-28 17:09 . 2005-10-26 19:43 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec 2008-03-28 17:09 . 2005-10-26 19:46 d-------- C:\Documents and Settings\Administrateur\Application Data\Jasc Software Inc 2008-03-28 17:03 . 2008-03-28 18:02 d-------- C:\Documents and Settings\Poste_PAO\Application Data\ma-config.com 2008-03-25 09:41 . 2008-03-25 09:41 d-------- C:\Program Files\TuneUp Utilities 2008 2008-03-25 09:41 . 2008-03-25 09:41 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-03-25 09:41 . 2008-02-27 14:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-03-25 09:22 . 2007-12-04 14:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-03-25 09:22 . 2007-12-04 16:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-03-25 09:22 . 2007-12-04 16:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-03-25 09:22 . 2007-12-04 16:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-03-25 09:22 . 2007-12-04 16:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-03-25 09:22 . 2007-12-04 16:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-03-25 09:21 . 2008-03-25 09:21 d-------- C:\Program Files\Alwil Software 2008-03-25 09:21 . 2007-12-04 15:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-03-25 09:21 . 2004-01-09 11:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-03-19 09:07 . 2008-03-19 14:27 d-------- C:\Documents and Settings\Poste_PAO\Application Data\Azureus 2008-03-19 09:07 . 2008-03-19 09:07 d-------- C:\Documents and Settings\All Users\Application Data\Azureus 2008-03-14 15:29 . 2008-03-14 15:29 143 --a------ C:\WINDOWS\windetk.ini 2008-03-14 15:24 . 2008-03-14 15:24 d-------- C:\Documents and Settings\Poste_PAO\WINDOWS 2008-03-14 11:23 . 2008-03-14 11:23 d-------- C:\Program Files\Roxio 2008-03-14 11:23 . 2008-03-14 11:23 57,344 --a------ C:\WINDOWS\uneng.exe 2008-03-14 11:22 . 2008-03-14 11:23 d-------- C:\Program Files\Fichiers communs\Adaptec Shared 2008-03-10 14:31 . 2008-03-10 14:31 155 --a------ C:\WINDOWS\VPOP3.INI 2008-02-26 05:12 . 2008-02-26 05:12 372,736 --a------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 04:59 . 2008-02-26 04:59 9,797,632 --a------ C:\WINDOWS\system32\atioglx2.dll 2008-02-26 04:41 . 2008-02-26 04:41 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat 2008-02-26 04:41 . 2008-02-26 04:41 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat 2008-02-26 04:41 . 2008-02-26 04:41 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat 2008-02-26 04:29 . 2008-02-26 04:29 46,080 --a------ C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 04:19 . 2008-02-26 04:19 167,936 --a------ C:\WINDOWS\system32\atiok3x2.dll 2008-02-13 09:19 . 2008-02-13 09:25 d-------- C:\Program Files\ActivIcons 2008-02-13 09:19 . 2008-02-13 09:19 d-------- C:\Documents and Settings\Poste_PAO\Application Data\CursorArts 2008-02-13 09:19 . 2008-02-13 09:19 0 --a------ C:\Default.Bmp 2008-02-12 17:53 . 2008-02-12 17:53 d-------- C:\Program Files\Picador 2008-02-01 13:00 . 2008-02-01 13:00 d-------- C:\Documents and Settings\LocalService\Bureau . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-28 15:55 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-28 15:55 --------- d-----w C:\Program Files\ATI Technologies 2008-03-28 15:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-03-28 15:38 --------- d-----w C:\Program Files\Intel 2008-03-28 14:35 --------- d-----w C:\Documents and Settings\Poste_PAO\Application Data\AdobeUM 2008-03-25 07:40 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-03-25 07:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-03-25 07:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec 2008-03-20 07:03 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-03-14 10:23 --------- d-----w C:\Program Files\Fichiers communs\DESkey 2008-03-14 09:23 30,630 ----a-w C:\WINDOWS\system32\drivers\Mmc_2k.sys 2008-03-14 09:23 25,898 ----a-w C:\WINDOWS\system32\drivers\Dvd_2k.sys 2008-03-14 09:23 206,464 ----a-w C:\WINDOWS\system32\drivers\udfreadr_xp.sys 2008-03-14 09:23 143,834 ----a-w C:\WINDOWS\system32\drivers\pwd_2K.sys 2008-03-14 09:11 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2008-02-11 08:19 --------- d-----w C:\Program Files\FileZilla 2006-06-19 07:06 2,539,520 -c--a-w C:\Program Files\wz90fr.exe . ((((((((((((((((((((((((((((( snapshot@2008-03-31_14.55.08.50 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-31 13:03:56 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70}] 2008-03-31 11:20 106496 --a------ C:\WINDOWS\system32\lgieltua.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69}] 2008-03-31 09:49 110592 --a------ C:\WINDOWS\system32\wpwbsmjl.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}] 2008-03-31 09:52 125440 -r-hs---- C:\WINDOWS\system32\ISECUR~1.CPL [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF}] C:\WINDOWS\system32\fccyyWQI.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DNHelper32"="C:\WINDOWS\system32\DNHlp32.exe" [2005-04-11 17:12 45056] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 16:44 178712] "eigksmnk"="C:\WINDOWS\system32\eigksmnk.exe" [2008-03-31 09:49 102400] "iSecurity applet"="iSecurity.cpl" [2008-03-31 09:52 125440 C:\WINDOWS\system32\iSecurity.cpl] "kgwrindn"="C:\WINDOWS\system32\kgwrindn.exe" [2008-03-31 11:20 94208] "MSDisp32"="C:\WINDOWS\system32\drvvac.dll" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "iSecurity"= {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL [2008-03-31 09:52 125440] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SnagIt 8.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\SnagIt 8.lnk backup=C:\WINDOWS\pss\SnagIt 8.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-04-27 09:41 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp] --a------ 2005-03-23 01:20 339968 C:\WINDOWS\stsystra.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "Steam"="C:\Program Files\Steam\Steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" "AdaptecDirectCD"="C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" "ATIPTA"=C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE "Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Canon\DIAS\CnxDIAS.exe"= "%windir%\system32\winav.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R2 DK2DRV;DK2 WindowsNT Driver;C:\WINDOWS\system32\Drivers\DK2DRV.SYS [2005-09-08 18:21] R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00] S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-25 09:41] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K] \Shell\AutoRun\command - K:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-03-31 13:04:01 C:\WINDOWS\Tasks\Maintenance en 1 clic.job" - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe "2008-03-28 15:34:35 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job" - C:\Program Files\Microsoft IntelliPoint\ipoint.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-31 15:04:09 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Canon\DIAS\CnxDIAS.exe C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\WINDOWS\system32\CNAC1RPK.EXE C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-03-31 15:05:49 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-31 13:05:46 ComboFix2.txt 2008-03-31 12:55:27 Pre-Run: 37,823,848,448 octets libres Post-Run: 37,807,316,992 octets libres . 2008-03-17 08:00:31 --- E O F ---

nickcold · Answer

ComboFix 08-03-30.3 - Poste_PAO 2008-03-31 15:01:20.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.658 [GMT 2:00] Endroit: C:\Documents and Settings\Poste_PAO\Bureau\killbagle.exe [color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color] . ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-02-28 to 2008-03-31 )))))))))))))))))))))))))))))))))))) . 2008-03-31 13:28 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-03-31 13:28 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-03-31 13:28 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-03-31 13:28 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-03-31 13:28 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-03-31 13:28 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-03-31 13:28 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-03-31 11:50 . 2008-03-31 11:50 d-------- C:\WINDOWS\ERUNT 2008-03-31 11:21 . 2008-03-31 11:21 d-------- C:\Program Files\Lavasoft 2008-03-31 11:21 . 2008-03-31 11:22 d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft 2008-03-31 11:20 . 2008-03-31 11:20 106,496 --a------ C:\WINDOWS\system32\lgieltua.dll 2008-03-31 11:20 . 2008-03-31 11:20 106,496 --a------ C:\Documents and Settings\All Users\Application Data\qfmpaxex.dll 2008-03-31 11:20 . 2008-03-31 11:20 94,208 --a------ C:\WINDOWS\system32\kgwrindn.exe 2008-03-31 10:52 . 2008-03-31 10:52 d-------- C:\Program Files\Trend Micro 2008-03-31 10:48 . 2008-03-31 13:29 2,396 --a------ C:\WINDOWS\system32 mp.reg 2008-03-31 10:30 . 2008-03-31 14:59 d-------- C:\Program Files\Spybot - Search & Destroy 2008-03-31 10:30 . 2008-03-31 14:57 d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 2008-03-31 10:25 . 2008-03-31 11:17 d-------- C:\Program Files\Yahoo! 2008-03-31 10:24 . 2008-03-31 10:25 d-------- C:\Program Files\CCleaner 2008-03-31 09:52 . 2008-03-31 09:52 d-------- C:\Program Files\iSecurity 2008-03-31 09:52 . 2008-03-31 11:11 d-------- C:\Program Files\AntiVirusPro 2008-03-31 09:52 . 2008-03-31 09:52 d-------- C:\Documents and Settings\Poste_PAO\Application Data\Anti-Virus-Pro.com 2008-03-31 09:52 . 2008-03-31 09:52 125,440 -r-hs---- C:\WINDOWS\system32\iSecurity.cpl 2008-03-31 09:50 . 2005-08-05 03:40 98,709 --a------ C:\Documents and Settings\Poste_PAO\Application Data\sysdefender.exe 2008-03-31 09:49 . 2008-03-31 09:49 110,592 --a------ C:\WINDOWS\system32\wpwbsmjl.dll 2008-03-31 09:49 . 2008-03-31 09:49 110,592 --a------ C:\Documents and Settings\All Users\Application Data\gvqdupgb.dll 2008-03-31 09:49 . 2008-03-31 09:49 102,400 --a------ C:\WINDOWS\system32\eigksmnk.exe 2008-03-31 09:49 . 2008-03-31 09:49 34,304 --a------ C:\WINDOWS\vylavqvo.exe 2008-03-28 18:00 . 2008-03-28 18:00 d-------- C:\Documents and Settings\Poste_PAO\Application Data\ATI 2008-03-28 18:00 . 2008-03-28 18:00 d-------- C:\Documents and Settings\All Users\Application Data\ATI 2008-03-28 17:59 . 2008-03-28 17:59 0 --a------ C:\WINDOWS\ativpsrm.bin 2008-03-28 17:57 . 2008-03-28 18:02 d-------- C:\Program Files\Steam 2008-03-28 17:54 . 2008-02-25 22:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-03-28 17:42 . 2008-03-28 17:42 d-------- C:\WINDOWS\system32\FRA 2008-03-28 17:42 . 2007-10-18 16:51 126,976 --a------ C:\WINDOWS\system32\Imsmudlg.exe 2008-03-28 17:38 . 2008-03-28 17:38 d-------- C:\Intel 2008-03-28 17:37 . 2006-01-12 15:52 1,904 --------- C:\WINDOWS\system32\SetupBD.din 2008-03-28 17:34 . 2008-03-28 17:34 0 --ah----- C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-03-28 17:34 . 2008-03-28 17:34 0 --ah----- C:\WINDOWS\system32\drivers\Msft_Kernel_NuidFltr_01005.Wdf 2008-03-28 17:33 . 2008-03-28 17:33 d-------- C:\Program Files\MSXML 6.0 2008-03-28 17:33 . 2008-03-28 17:33 d-------- C:\Program Files\Microsoft IntelliPoint 2008-03-28 17:33 . 2007-08-31 13:01 1,421,736 --a------ C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-03-28 17:33 . 2007-08-21 02:13 21,760 --a------ C:\WINDOWS\system32\drivers\point32.sys 2008-03-28 17:33 . 2004-08-04 01:54 21,504 --a------ C:\WINDOWS\system32\drivers\hidserv.dll 2008-03-28 17:33 . 2007-08-31 12:58 18,856 --a------ C:\WINDOWS\system32\drivers uidfltr.sys 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression 2008-03-28 17:09 . 2004-08-20 11:30 d--h----- C:\Documents and Settings\Administrateur\ModŠles 2008-03-28 17:09 . 2004-08-20 11:42 dr------- C:\Documents and Settings\Administrateur\Mes documents 2008-03-28 17:09 . 2004-08-20 11:30 dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer 2008-03-28 17:09 . 2005-10-26 19:41 dr------- C:\Documents and Settings\Administrateur\Favoris 2008-03-28 17:09 . 2008-03-31 11:20 d-------- C:\Documents and Settings\Administrateur\Bureau 2008-03-28 17:09 . 2005-10-26 19:43 d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec 2008-03-28 17:09 . 2005-10-26 19:46 d-------- C:\Documents and Settings\Administrateur\Application Data\Jasc Software Inc 2008-03-28 17:03 . 2008-03-28 18:02 d-------- C:\Documents and Settings\Poste_PAO\Application Data\ma-config.com 2008-03-25 09:41 . 2008-03-25 09:41 d-------- C:\Program Files\TuneUp Utilities 2008 2008-03-25 09:41 . 2008-03-25 09:41 307,968 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe 2008-03-25 09:41 . 2008-02-27 14:15 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll 2008-03-25 09:22 . 2007-12-04 14:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2008-03-25 09:22 . 2007-12-04 16:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2008-03-25 09:22 . 2007-12-04 16:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2008-03-25 09:22 . 2007-12-04 16:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2008-03-25 09:22 . 2007-12-04 16:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2008-03-25 09:22 . 2007-12-04 16:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2008-03-25 09:21 . 2008-03-25 09:21 d-------- C:\Program Files\Alwil Software 2008-03-25 09:21 . 2007-12-04 15:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe 2008-03-25 09:21 . 2004-01-09 11:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx 2008-03-19 09:07 . 2008-03-19 14:27 d-------- C:\Documents and Settings\Poste_PAO\Application Data\Azureus 2008-03-19 09:07 . 2008-03-19 09:07 d-------- C:\Documents and Settings\All Users\Application Data\Azureus 2008-03-14 15:29 . 2008-03-14 15:29 143 --a------ C:\WINDOWS\windetk.ini 2008-03-14 15:24 . 2008-03-14 15:24 d-------- C:\Documents and Settings\Poste_PAO\WINDOWS 2008-03-14 11:23 . 2008-03-14 11:23 d-------- C:\Program Files\Roxio 2008-03-14 11:23 . 2008-03-14 11:23 57,344 --a------ C:\WINDOWS\uneng.exe 2008-03-14 11:22 . 2008-03-14 11:23 d-------- C:\Program Files\Fichiers communs\Adaptec Shared 2008-03-10 14:31 . 2008-03-10 14:31 155 --a------ C:\WINDOWS\VPOP3.INI 2008-02-26 05:12 . 2008-02-26 05:12 372,736 --a------ C:\WINDOWS\system32\ATIDEMGX.dll 2008-02-26 04:59 . 2008-02-26 04:59 9,797,632 --a------ C:\WINDOWS\system32\atioglx2.dll 2008-02-26 04:41 . 2008-02-26 04:41 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat 2008-02-26 04:41 . 2008-02-26 04:41 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat 2008-02-26 04:41 . 2008-02-26 04:41 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat 2008-02-26 04:29 . 2008-02-26 04:29 46,080 --a------ C:\WINDOWS\system32\amdpcom32.dll 2008-02-26 04:19 . 2008-02-26 04:19 167,936 --a------ C:\WINDOWS\system32\atiok3x2.dll 2008-02-13 09:19 . 2008-02-13 09:25 d-------- C:\Program Files\ActivIcons 2008-02-13 09:19 . 2008-02-13 09:19 d-------- C:\Documents and Settings\Poste_PAO\Application Data\CursorArts 2008-02-13 09:19 . 2008-02-13 09:19 0 --a------ C:\Default.Bmp 2008-02-12 17:53 . 2008-02-12 17:53 d-------- C:\Program Files\Picador 2008-02-01 13:00 . 2008-02-01 13:00 d-------- C:\Documents and Settings\LocalService\Bureau . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-28 15:55 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-03-28 15:55 --------- d-----w C:\Program Files\ATI Technologies 2008-03-28 15:54 --------- d-----w C:\Program Files\Fichiers communs\InstallShield 2008-03-28 15:38 --------- d-----w C:\Program Files\Intel 2008-03-28 14:35 --------- d-----w C:\Documents and Settings\Poste_PAO\Application Data\AdobeUM 2008-03-25 07:40 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard 2008-03-25 07:16 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared 2008-03-25 07:16 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec 2008-03-20 07:03 --------- d-----w C:\Program Files\Fichiers communs\Adobe 2008-03-14 10:23 --------- d-----w C:\Program Files\Fichiers communs\DESkey 2008-03-14 09:23 30,630 ----a-w C:\WINDOWS\system32\drivers\Mmc_2k.sys 2008-03-14 09:23 25,898 ----a-w C:\WINDOWS\system32\drivers\Dvd_2k.sys 2008-03-14 09:23 206,464 ----a-w C:\WINDOWS\system32\drivers\udfreadr_xp.sys 2008-03-14 09:23 143,834 ----a-w C:\WINDOWS\system32\drivers\pwd_2K.sys 2008-03-14 09:11 --------- d-----w C:\Program Files\Fichiers communs\Sonic Shared 2008-02-26 05:51 2,863,616 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2008-02-26 02:22 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll 2008-02-11 08:19 --------- d-----w C:\Program Files\FileZilla 2006-06-19 07:06 2,539,520 -c--a-w C:\Program Files\wz90fr.exe . ((((((((((((((((((((((((((((( snapshot@2008-03-31_14.55.08.50 ))))))))))))))))))))))))))))))))))))))))) . + 2008-03-31 13:03:56 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70}] 2008-03-31 11:20 106496 --a------ C:\WINDOWS\system32\lgieltua.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69}] 2008-03-31 09:49 110592 --a------ C:\WINDOWS\system32\wpwbsmjl.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}] 2008-03-31 09:52 125440 -r-hs---- C:\WINDOWS\system32\ISECUR~1.CPL [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF}] C:\WINDOWS\system32\fccyyWQI.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DNHelper32"="C:\WINDOWS\system32\DNHlp32.exe" [2005-04-11 17:12 45056] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 16:44 178712] "eigksmnk"="C:\WINDOWS\system32\eigksmnk.exe" [2008-03-31 09:49 102400] "iSecurity applet"="iSecurity.cpl" [2008-03-31 09:52 125440 C:\WINDOWS\system32\iSecurity.cpl] "kgwrindn"="C:\WINDOWS\system32\kgwrindn.exe" [2008-03-31 11:20 94208] "MSDisp32"="C:\WINDOWS\system32\drvvac.dll" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360] "Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "iSecurity"= {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL [2008-03-31 09:52 125440] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^SnagIt 8.lnk] path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\SnagIt 8.lnk backup=C:\WINDOWS\pss\SnagIt 8.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] C:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2007-04-27 09:41 282624 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp] --a------ 2005-03-23 01:20 339968 C:\WINDOWS\stsystra.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-09-25 02:11 132496 C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion un-] "Steam"="C:\Program Files\Steam\Steam.exe" -silent [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" "AdaptecDirectCD"="C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" "ATIPTA"=C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE "Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" "IntelliPoint"="C:\Program Files\Microsoft IntelliPoint\ipoint.exe" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "C:\Program Files\Canon\DIAS\CnxDIAS.exe"= "%windir%\system32\winav.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R2 DK2DRV;DK2 WindowsNT Driver;C:\WINDOWS\system32\Drivers\DK2DRV.SYS [2005-09-08 18:21] R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00] S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-03-25 09:41] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E] \Shell\AutoRun\command - E:\Setup.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K] \Shell\AutoRun\command - K:\Setup.exe . Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es' "2008-03-31 13:04:01 C:\WINDOWS\Tasks\Maintenance en 1 clic.job" - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe "2008-03-28 15:34:35 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IPoint_exe.job" - C:\Program Files\Microsoft IntelliPoint\ipoint.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-31 15:04:09 Windows 5.1.2600 Service Pack 2 NTFS Balayage processus cach‚s ... Balayage cach‚ autostart entries ... Balayage des fichiers cach‚s ... Scan termin‚ avec succŠs Les fichiers cach‚s: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32 undll32.exe C:\Program Files\Canon\DIAS\CnxDIAS.exe C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe C:\WINDOWS\system32\CNAC1RPK.EXE C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Temps d'accomplissement: 2008-03-31 15:05:49 - machine was rebooted ComboFix-quarantined-files.txt 2008-03-31 13:05:46 ComboFix2.txt 2008-03-31 12:55:27 Pre-Run: 37,823,848,448 octets libres Post-Run: 37,807,316,992 octets libres . 2008-03-17 08:00:31 --- E O F ---

nickcold · Answer

au demarrage il me demande

drvvac.dll manquant

nickcold · Answer

j'ai toujours un gros spyware
windows security center !!

jlpjlp · Answer

Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :






Driver ::
vxhhsueh

File::
C:\WINDOWS\system32\fccyyWQI.dll
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32\kgwrindn.exe
C:\WINDOWS\system32\drvvac.dll
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\wpwbsmjl.dll
C:\WINDOWS\system32\lgieltua.dll



Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF}]







Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

nickcold · Answer

faut il laisser en .txt ?

jlpjlp · Answer

oui tu laisse:



Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :






File::
C:\WINDOWS\system32\fccyyWQI.dll
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32\kgwrindn.exe
C:\WINDOWS\system32\drvvac.dll
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\wpwbsmjl.dll
C:\WINDOWS\system32\lgieltua.dll



Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF}]







Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Remets aussi un rapport Hijackthis


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

nickcold · Answer

ComboxFix renomé precedement (killbagle) prends bien le nouveau fichier texte mais par contre ensuite ca reste bloqué (toute la nuiit) en suppression de fichier et pourant ma protection résidente d'avast était desactivée !

de ce fait j'ai toujours les problemes de spyware..

jlpjlp · Answer

télécharge OTMoveIt 
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau.  Ou sur  https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer. 
copie la liste qui se trouve en citation ci-dessous, 
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved. 

Citation : 

C:\WINDOWS\system32\fccyyWQI.dll
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32\kgwrindn.exe
C:\WINDOWS\system32\drvvac.dll
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\wpwbsmjl.dll
C:\WINDOWS\system32\lgieltua.dll
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF







___________________________



 colle le rapport d'un scan en ligne 
avec un des suivants: 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr


clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

nickcold · Answer

ca reste bloqué en exécution

ca fait qd meme bcp de scan et de telechargement pour corriger mon truc...

jlpjlp · Answer

oui cela mets du temps mais tu n'as pas lésiné sur les infections....


télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\WINDOWS\system32\fccyyWQI.dll
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32\kgwrindn.exe
C:\WINDOWS\system32\drvvac.dll
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\wpwbsmjl.dll
C:\WINDOWS\system32\lgieltua.dll
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF



clique sur MoveIt! pour lancer la suppression. 
le résultat apparaitra dans le cadre "Results". 
clique sur Exit pour fermer. 
poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

nickcold · Answer

BitDefender Online Scanner - Rapport virus en temps réel
  
Généré à: Tue, Apr 01, 2008 - 10:14:29
  
Info d'analyse
  
Fichiers scannés
 95007
 
Infectés Fichiers
 2
 
Virus Détectés Trojan.Generic.69347

jlpjlp · Answer

donne moi le nom des fichiers inféctés

nickcold · Answer

C:\Documents and Settings\Poste_PAO\Application Data\sysdefender.exe
Infecté par: Trojan.Generic.69347
C:\Documents and Settings\Poste_PAO\Application Data\sysdefender.exe
Supprimé

C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP4\A0000159.exe
Infecté par: Trojan.Generic.69347
C:\System Volume Information\_restore{EA39A09C-50BA-4996-869B-915C83FE3B53}\RP4\A0000159.exe
Supprimé

jlpjlp · Answer

télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\WINDOWS\system32\fccyyWQI.dll
C:\WINDOWS\system32\eigksmnk.exe
C:\WINDOWS\system32\kgwrindn.exe
C:\WINDOWS\system32\drvvac.dll
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\wpwbsmjl.dll
C:\WINDOWS\system32\lgieltua.dll
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{03178341-02ED-E3D9-FC14-076C964D0A70
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5447ADBC-9AD8-2D30-46C4-0979F3630B69
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DC182DAE-F74A-480C-A87F-B4C08AB2D1FF



clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
__________________


verifie si encore present:

C:\Documents and Settings\Poste_PAO\Application Data\sysdefender.exe 


__________

désactive la restauration système pour purger les virus qui sont dedans
puis redemarre ton ordi
 puis réactive là :  https://www.informatruc.com

______________
recolle un nouveau hijkachits et dis tes soucis

nickcold · Answer

non plus là
làje fais un scan kapersky

OTMoveIt  galere pour virer ce fichier suivant

C:\WINDOWS\system32\wpwbsmjl.dll

jlpjlp · Answer

colle le rapport otmovit svp

nickcold · Answer

je n'en ai pas il reste toujours bloqué moving file C:\WINDOWS\system32\wpwbsmjl.dll

et les précédents sur la liste

C:\WINDOWS\system32\fccyyWQI.dll 
C:\WINDOWS\system32\eigksmnk.exe 
C:\WINDOWS\system32\kgwrindn.exe 
C:\WINDOWS\system32\drvvac.dll 
C:\WINDOWS\system32\ISECUR~1.CPL

c'est affiché not found à droite

jlpjlp · Answer

ok recolle un nouvel hijakhcits et un nouveau combofix


analyse sur virus total ceci et colle le rapport: https://www.virustotal.com/gui/
C:\WINDOWS\system32\wpwbsmjl.dll

nickcold · Answer

Résultat: 3/32 (9.38%)

AntiVir - - TR/Vundo.Gen 
Microsoft - - Trojan:Win32/Virtumonde.R 
Webwasher-Gateway - - Trojan.Vundo.Gen 

MD5: 92ada7275d0d837da8b081bd3edab267 
SHA1: 9bddef32dff21d4a852fca37ae8b86b79e2a1b91 
SHA256: a0521a5ca3fe6dc088f85d76d1016b755154029a177fb9c3746d057e5c77b298 
SHA512: 2d5482dc2525ba5d103b91e597a724f352365b70791cb374aab6aecb9b7ceaa2 079156790a83f79d7e038b639d5be665058870a47cf0e814d3b433368a2cf07e

jlpjlp · Answer

ok


Relance Vundofix
* Ne clique pas sur "Scan for a vundo"
* Clique droit au milieu de la fenêtre
* Clique sur Add more files ?
* Copie/colle les fichiers ci-dessous ( un par case) :


C:\WINDOWS\system32\wpwbsmjl.dll 


* Clique sur Add files
* Ensuite clique sur Close Windows
* Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
* Si l'outils demande un redémarrage, accepte
* Poste le rapport Vundofix, ainsi qu'un nouveau log hijackthis et combofix

nickcold · Answer

cela semble ok
j'ai meme refait un OTMoveIt, il n'a rien trouvé !
maintenant
au demarrage il m'affiche une boite de dialogue (bouton OK)

RUNDLL
Erreur de chargement  de iSecurity.cpl
Le module spécifié est introuvable

et voici un hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:44:34, on 01/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Canon\DIAS\CnxDIAS.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CNAC1RPK.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DNHlp32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: (no name) - {03178341-02ED-E3D9-FC14-076C964D0A70} - C:\WINDOWS\system32\lgieltua.dll (file missing)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5447ADBC-9AD8-2D30-46C4-0979F3630B69} - C:\WINDOWS\system32\wpwbsmjl.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Program Files\Xi\NetXfer\NXIEHelper.dll
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL (file missing)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DC182DAE-F74A-480C-A87F-B4C08AB2D1FF} - (no file)
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Program Files\Xi\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [DNHelper32] C:\WINDOWS\system32\DNHlp32.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: démarrer commun.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: démarrer commun.lnk = ? (User 'Default user')
O4 - Startup: démarrer commun.lnk = ?
O8 - Extra context menu item: Consulter les dictionnaires (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/lookup.js
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Tout télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Traduire (SYSTRAN) - res://C:\Program Files\SYSTRAN\6\GUIres.dll/translate.js
O8 - Extra context menu item: Télécharger avec NetXfer - C:\Program Files\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin
pjpi160_03.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {AD5F3C4B-BD73-11D5-838B-0050042DF1E4} (HOOPS 3D Stream Control Class) - http://www.hoops3d.com/downloads/hoopsatlcontrol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{153D6C71-F7EC-4AF3-9141-F96CF8B41A4B}: NameServer = 192.168.1.1,0.0.0.0
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL (file missing)
O21 - SSODL: AvpRunOnce - {1e8714ba-70f2-4393-8f92-59e0f95597e5} - (no file)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:\Program Files\Canon\DIAS\CnxDIAS.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

nickcold · Answer

ok merci pour tout cette aide !

jlpjlp · Answer

ok


Relance HijackThis, choisis "do a scan only" coche la case devant les lignes ci-dessous et clic en bas sur "fix checked". 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {03178341-02ED-E3D9-FC14-076C964D0A70} - C:\WINDOWS\system32\lgieltua.dll (file missing)
O2 - BHO: (no name) - {5447ADBC-9AD8-2D30-46C4-0979F3630B69} - C:\WINDOWS\system32\wpwbsmjl.dll (file missing)
O2 - BHO: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL (file missing)
O2 - BHO: (no name) - {DC182DAE-F74A-480C-A87F-B4C08AB2D1FF} - (no file)
O3 - Toolbar: SYSTRAN Toolbar - {95daa571-4def-4a6d-97d8-98a346672a24} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [iSecurity applet] rundll32.exe iSecurity.cpl,SecurityMonitor
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - http://minitelweb.minitel.com/imin_data/ocx/MDM.cab
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.techsmith.com/codec/tsccinst.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/l2/bin/cortvrml.cab
O16 - DPF: {AD5F3C4B-BD73-11D5-838B-0050042DF1E4} (HOOPS 3D Stream Control Class) - http://www.hoops3d.com/downloads/hoopsatlcontrol.cab
O21 - SSODL: iSecurity - {A8311E8F-E459-4D22-89B4-CB9DCF10A425} - C:\WINDOWS\system32\ISECUR~1.CPL (file missing)
O21 - SSODL: AvpRunOnce - {1e8714ba-70f2-4393-8f92-59e0f95597e5} - (no file) 


______________

Mettre a jour java:
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/

mettre à jour adobe reader
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

_____

si plyus de problème c'est bon!!!!


















pour protéger gratos ton ordi

http://www.commentcamarche.net/telecharger/logiciel 4 securite

mettre un antivirus

AVAST en français   ou ANTIVIR (en anglais mais très efficace)
https://www.malekal.com/avira-free-security-antivirus-gratuit/ (merci Malekal)
-------------
des anti-espions :
MalwareByte's Anti-Malware + SPYBOT +/-    si tea timer non active de spybot: 
 WINDOWS    DEFENDER ou  SPYWARE TERMINATOR

+
SPYWAREBLASTER pour immuniser le système contre vundo notamment mais en anglais (mais facile d'utilisation  : il suffit de faire "update" pour mettre à jour tous les mois  et ensuite" enable all protection" pour immuniser)...

Rq : spybot et ad-aware ont sorti de nouvelles versions cette année vérifiez que vous avez la dernière version 
--------
un pare feu :
celui de (Windows) ou mieux Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) 

http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall

 https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html
https://manuelsdaide.com/contact/
http://www.open-files.com/forum/index.php?showtopic=29277
http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm

-----------
CCLEANER pour effacer les traces de surf
---------
naviguer avec firefox ou safari ou opera et non internet explorer plus  touché par les virus
http://www.mozilla-europe.org/fr/products/firefox/

PC infecté : wowfx.dll etc... HELP ME

32 réponses

Newsletters