Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Vundo wml.exe abebot pccleaner ,helpppp.

Dernière réponse le 19 avr 2008 à 11:11:26 eff, le 14 avr 2008 à 01:39:20

Signaler ce message aux modérateurs

Bonjour,
après avoir scanné vireé rescanné vundofixé spydoctoré kasperskysé spyboté msnfixé etc etc ,j'en ai marre , j'ai tout essayé en mode normal en sans echec en sessios admin et normale etc etc , rien a faire, j'ai a nouveau les message d'avertissement qui accourent, un coup c'est c:/windows/wml.exe l'autre c'est pccleaner,apres l'avertissement pub qui t'envoie sur pc spyware etc etc g fait un hijackt y a deux minutes parce que là ca me gonfle vraiment , la seule chose positive c'est que je pense avoir eu la peau de virtumonde, mais j'en suis meme pas certain, donc jpousse le cri du jour, helppppppppppp me , svp mdrrrrrr merci ,je colle direct le log hijackt et j'attend que vos lumieres milluminent merciiiiiiii
_______________________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:15:15, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
e:\Glary Utilities\Integrator.exe
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\zedahsvm.exe
C:\WINDOWS\system32\svchost.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [tyfvuaqx] C:\WINDOWS\system32\zedahsvm.exe
O4 - HKCU\..\Run: [qqjyeask] C:\WINDOWS\system32\mxsbqvqv.exe
O4 - HKLM\..\Policies\Explorer\Run: [tIVlFTkB2R] C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
End of file - 9013 bytes
____________________________________________________________________________________________

Configuration: Windows XP
Internet Explorer 7.0

Meilleures réponses pour « vundo wml.exe abebot pccleaner ,helpppp. » dans :

Trojan, abebot, wml.exe (Résolu) Voir

Abebot, wml.exe sous vista (Résolu) Voir

Besoin d'aide s'il vous plait pour un trojan (Résolu) Voir

Supprimer le trojan Vundo/Virtumonde Voir

Besoin d'aide, PC pourri jusqu'a la moelle! Voir

Virus trojan vundo, comment réparer? (Résolu) Voir

Trojan.Vundo (Résolu) Voir

Ctfmon - ctfmon.exe Voirctfmon - ctfmon.exe Le processus ctfmon.exe (dont le nom complet de processus est Alternative User Input Services) est un processus générique de Windows NT/2000/XP servant à gérer les entrées de saisie texte alternatives telles que les logiciels...

Wuauclt - wuauclt.exe Voirwuauclt - wuauclt.exe Le processus wuauclt.exe (wuauclt signifiant Windows Update client for WindowsME) est un processus générique de Windows Millenium servant à mettre à jour Windows Millenium via Internet. Le fichier correspondant à ce...

Svchost - svchost.exe Voirsvchost - svchost.exe Le processus svchost.exe (svchost signifiant Service Host Process) est un processus générique de Windows 2000/XP servant d'hôtes pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs). Il...

Posez votre question Répondre

afideg, le 14 avr 2008 à 01:42:36

Bonsoir

Attention ==> Accepte les alertes de ton Kaspersky Internet Security 7.0

Supprime éventuellement toute ancienne version de ComboFix de ton PC.

Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
Clic-droit sur ce lien < http://download.bleepingcomputer.com/sUBs/ComboFix.exe >

Puis choisis "Enregistrer sous .." ==> vers le 'bureau"
==> Attention : renomme-le sous le nom « TRISTAN.EXE » (très important).
==> < http://img212.imageshack.us/img212/3087/screenshot327qh5.png >
Tu le nommes à ce moment-là, et non pas après l'avoir enregistré ; ce serait trop tard.
Puis clic sur [Enregistrer]

==> Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.
==> Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> donc, > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches!

- Double clique sur l'icône de ComboFix.exe (TRISTAN.EXE) du bureau, [Exécuter] et suis les invites.
- Réponds oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
Laisse se dérouler le scan.

/!\ Pendant la durée de cette étape, ne te sers pas du pc et n'ouvre aucun programme.
Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse)./i\

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisse-le faire.
- Un rapport s'ouvrira ensuite dans le bloc-notes sur le bureau.

(Attention : Il est très probable que l'outil bloque à la fenêtre "Find3M" ; si c'est le cas, appuie simultanément sur les touches CTRL + ALT + DEL (Sup.), clique sur l'un des deux CF#####.exe (où ##### sont des chiffres aléatoires) et le rapport sera généré !)

•- ==> Réactive la protection en temps réel de ton Antivirus et de ton Antispywares, avant de te reconnecter à Internet.

Note: ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
Tu copies et colles ce rapport sur le forum

Merci
Al.

PS: As-tu trouvé chaussure, ici http://www.commentcamarche.net/forum/affich 3969629 site resume livre#12 ??
Patience-Vigilance-Amour.

Répondre à afideg

eff, le 14 avr 2008 à 01:50:52

Merci afideg , au telechargement spy me detecte des objet malicieux dans combofix , evidemment il les vire, ton avis?

g rien dit ,;)

Répondre à eff

afideg, le 14 avr 2008 à 01:52:39

Relis ceci

« Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de ton Antispywares, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). ==> donc, > Désactive le Tea-Timer de Spybot en passant par les options de Spybot: une fois dans le logiciel, il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Teatimer" . Tu ne dois plus voir l'icône du Tea- Timer dans la barre de tâches! »

Recommence, et lis bien tout

Merci
Je vais bientôt au lit
Al.
Patience-Vigilance-Amour.

Répondre à afideg

eff, le 14 avr 2008 à 02:14:02

Voila g combofixé et je met le log obtenu

______________________________________________________________________________________________
ComboFix 08-04-13.1 - eff 2008-04-14 1:58:33.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.717 [GMT 2:00]
Endroit: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b /color
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\PC-Cleaner
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\bjxewhok.ini
C:\WINDOWS\system32\FgOpqtwa.ini
C:\WINDOWS\system32\FgOpqtwa.ini2
C:\WINDOWS\system32\xbHkQqss.ini
C:\WINDOWS\system32\xbHkQqss.ini2
C:\WINDOWS\system32bdn.com
C:\WINDOWS\system32hxiwlgpm.dat
C:\WINDOWS\system32ssvchost.com
C:\WINDOWS\system32taack.dat
C:\WINDOWS\system32VBIEWER.OCX

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))
.

2008-04-14 01:07 . 2008-04-14 01:07 <REP> d-------- C:\Program Files\Trend Micro
2008-04-14 00:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 00:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 00:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-14 00:35 . 2008-04-14 00:39 <REP> d-------- C:\Program Files\MSNFix
2008-04-13 23:58 . 2008-04-13 23:58 90,112 --a------ C:\WINDOWS\system32\mxsbqvqv.exe
2008-04-13 18:38 . 2008-04-13 18:38 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
2008-04-13 13:23 . 2008-04-13 13:23 <REP> d-------- C:\VundoFix Backups
2008-04-13 11:21 . 2008-04-13 11:21 5,264 --a------ C:\cc_20080413_1121.reg
2008-04-13 11:19 . 2008-04-13 11:20 52,096 --a------ C:\cc_20080413_1119.reg
2008-04-13 11:17 . 2008-04-13 11:17 <REP> d-------- C:\Program Files\CCleaner
2008-04-13 10:52 . 2008-04-14 01:54 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-13 10:51 . 2008-04-13 19:58 <REP> d-------- C:\Program Files\Spyware Doctor
2008-04-13 10:51 . 2008-04-13 10:51 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC Tools
2008-04-13 10:51 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-13 10:51 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-13 10:51 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-13 10:51 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-13 10:46 . 2008-04-13 10:46 <REP> d-------- C:\Program Files\Google
2008-04-13 10:46 . 2008-04-13 11:47 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-04-13 09:40 . 2008-04-13 10:24 586 ---hs---- C:\WINDOWS\system32\fdofokqt.ini
2008-04-13 09:36 . 2008-04-13 09:36 106,496 --a------ C:\WINDOWS\system32\zedahsvm.exe
2008-04-13 02:46 . 2008-04-13 02:46 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-13 02:46 . 2008-04-13 03:30 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-04-13 02:22 . 2008-04-13 03:00 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage r‚seau
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage d'impression
2008-04-13 02:12 . 2007-11-11 14:34 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\ModŠles
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Mes documents
2008-04-13 02:12 . 2007-11-11 15:17 <REP> dr------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Menu D‚marrer
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Favoris
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Bureau
2008-04-13 02:12 . 2008-04-13 02:12 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73
2008-04-13 01:41 . 2008-04-13 03:28 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Antispyware
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft
2008-04-13 01:06 . 2008-04-13 01:06 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb
2008-04-13 01:06 . 2008-04-13 01:06 90,112 --a------ C:\WINDOWS\system32\ydcbcnmh.exe
2008-04-13 00:41 . 2007-03-28 18:43 181,760 --a------ C:\WINDOWS\system32\iwpsetup.exe
2008-04-13 00:41 . 1997-01-16 00:00 29,696 --a------ C:\WINDOWS\system32\VB5STKIT.DLL
2008-04-13 00:41 . 1997-01-16 13:42 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB
2008-04-12 20:31 . 2008-04-12 20:31 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\null
2008-04-12 16:36 . 2008-04-12 16:46 12,191 --a------ C:\WINDOWS\system32\CKRES.VDF
2008-04-12 16:36 . 2008-04-12 16:46 1,440 --a------ C:\WINDOWS\system32\CKSYS.VDF
2008-04-12 12:10 . 2008-04-12 16:26 161 --a------ C:\WINDOWS\system32\CielComponent.ini
2008-04-12 12:01 . 2008-04-12 12:01 753,664 --a------ C:\WINDOWS\system32\ifsrel.dll
2008-04-12 12:01 . 2002-10-29 10:35 663,552 --------- C:\WINDOWS\CielInfos.exe
2008-04-12 12:01 . 2003-06-13 15:27 360,448 --a------ C:\WINDOWS\system32\CielArchiver.dll
2008-04-12 12:01 . 2008-04-12 12:01 172,032 --a------ C:\WINDOWS\system32\portal.dll
2008-04-12 12:01 . 2008-04-12 12:01 69,632 --a------ C:\WINDOWS\system32\coface.dll
2008-04-12 11:31 . 2003-06-18 14:20 208,896 --a------ C:\WINDOWS\system32\CRun500.dll
2008-04-12 11:29 . 2008-04-12 11:48 <REP> d-------- C:\Program Files\Ciel e-Commerce
2008-04-06 20:46 . 2008-04-06 20:46 <REP> d-------- C:\Program Files\MSXML 4.0
2008-04-06 13:27 . 2008-04-06 13:27 8,224 --a------ C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-04-06 12:33 . 2008-04-06 12:41 <REP> d-------- C:\Program Files\Steinberg
2008-04-03 11:36 . 2008-04-03 11:36 244 --ah----- C:\sqmnoopt14.sqm
2008-04-03 11:36 . 2008-04-03 11:36 232 --ah----- C:\sqmdata14.sqm
2008-04-03 01:03 . 2008-04-03 01:03 244 --ah----- C:\sqmnoopt13.sqm
2008-04-03 01:03 . 2008-04-03 01:03 232 --ah----- C:\sqmdata13.sqm
2008-04-02 15:28 . 2008-04-02 15:28 244 --ah----- C:\sqmnoopt12.sqm
2008-04-02 15:28 . 2008-04-02 15:28 232 --ah----- C:\sqmdata12.sqm
2008-04-02 12:09 . 2008-04-02 12:09 244 --ah----- C:\sqmnoopt11.sqm
2008-04-02 12:09 . 2008-04-02 12:09 232 --ah----- C:\sqmdata11.sqm
2008-04-02 00:11 . 2008-04-02 00:11 244 --ah----- C:\sqmnoopt10.sqm
2008-04-02 00:11 . 2008-04-02 00:11 232 --ah----- C:\sqmdata10.sqm
2008-04-01 14:39 . 2008-04-01 14:39 268 --ah----- C:\sqmdata09.sqm
2008-04-01 14:39 . 2008-04-01 14:39 244 --ah----- C:\sqmnoopt09.sqm
2008-03-31 00:58 . 2008-03-31 00:58 244 --ah----- C:\sqmnoopt08.sqm
2008-03-31 00:58 . 2008-03-31 00:58 232 --ah----- C:\sqmdata08.sqm
2008-03-30 12:00 . 2008-03-30 12:00 244 --ah----- C:\sqmnoopt07.sqm
2008-03-30 12:00 . 2008-03-30 12:00 232 --ah----- C:\sqmdata07.sqm
2008-03-30 03:41 . 2008-03-30 03:41 244 --ah----- C:\sqmnoopt06.sqm
2008-03-30 03:41 . 2008-03-30 03:41 232 --ah----- C:\sqmdata06.sqm
2008-03-29 17:32 . 2008-03-29 17:32 244 --ah----- C:\sqmnoopt05.sqm
2008-03-29 17:32 . 2008-03-29 17:32 232 --ah----- C:\sqmdata05.sqm
2008-03-29 12:57 . 2008-03-29 12:57 244 --ah----- C:\sqmnoopt04.sqm
2008-03-29 12:57 . 2008-03-29 12:57 232 --ah----- C:\sqmdata04.sqm
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\WINDOWS\system32\windows media
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\Program Files\Windows Media Components
2008-03-29 02:05 . 2008-03-29 02:05 244 --ah----- C:\sqmnoopt03.sqm
2008-03-29 02:05 . 2008-03-29 02:05 232 --ah----- C:\sqmdata03.sqm
2008-03-28 14:59 . 2008-03-28 14:59 244 --ah----- C:\sqmnoopt02.sqm
2008-03-28 14:59 . 2008-03-28 14:59 232 --ah----- C:\sqmdata02.sqm
2008-03-28 14:35 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-03-28 12:44 . 2008-03-28 12:44 <REP> d-------- C:\Program Files\Fichiers communs\Micro Application Shared
2008-03-28 10:58 . 2008-03-28 10:58 244 --ah----- C:\sqmnoopt01.sqm
2008-03-28 10:58 . 2008-03-28 10:58 232 --ah----- C:\sqmdata01.sqm
2008-03-28 10:26 . 2008-03-28 10:26 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\ALM
2008-03-28 02:46 . 2008-03-28 02:46 244 --ah----- C:\sqmnoopt00.sqm
2008-03-28 02:46 . 2008-03-28 02:46 232 --ah----- C:\sqmdata00.sqm
2008-03-28 02:35 . 2008-03-28 02:46 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\LogoMaker
2008-03-28 02:13 . 2008-03-28 02:24 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Download Manager
2008-03-20 03:06 . 2008-03-20 03:06 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2008-03-20 03:05 . 2008-03-20 04:13 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2008-03-18 00:56 . 2008-03-18 00:56 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Sony Corporation
2008-03-18 00:52 . 2006-11-02 17:57 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2008-03-18 00:52 . 2006-10-18 20:43 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2008-03-18 00:44 . 2008-03-18 00:44 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\InstallShield
2008-03-16 15:31 . 2008-03-16 15:31 286,720 --------- C:\WINDOWS\Setup1.exe
2008-03-16 15:31 . 2008-03-16 15:31 73,216 --a------ C:\WINDOWS\ST6UNST.EXE

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 00:04 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-04-14 00:02 383,492 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-14 00:02 31,064,352 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-14 00:02 100,748 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-14 00:02 1,043,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-12 10:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 10:34 --------- d-----w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Steinberg
2008-03-25 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DVD Shrink
2008-03-21 22:38 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WinZip
2008-03-21 00:00 238,000 ----a-w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GDIPFONTCACHEV1.DAT
2008-03-04 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Bluetooth
2008-01-06 10:13 7,163 ----a-w C:\Program Files\INSTALL.LOG
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"tyfvuaqx"="C:\WINDOWS\system32\zedahsvm.exe" [2008-04-13 09:36 106496]
"qqjyeask"="C:\WINDOWS\system32\mxsbqvqv.exe" [2008-04-13 23:58 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-03-02 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 15:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 15:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 13:34 406016]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2005-09-05 09:55 339968]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"Adobe Reader Speed Launcher"="E:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"ISTray"="C:\Program Files\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"tIVlFTkB2R"= C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
ddcDsRJc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=C:\WINDOWS\system32\ydcbcnmh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe"=
"E:\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"E:\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"E:\\Microsoft Games\\Halo\\halo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 10:11]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 00:03:36 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
"2008-04-13 08:04:28 C:\WINDOWS\Tasks\User_Feed_Synchronization-{1F13D858-319E-4E0B-9508-8D9195F671F7}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 02:04:19
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
E:\Glary Utilities\Integrator.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-14 2:08:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-14 00:07:57

Pre-Run: 12,176,461,824 octets libres
Post-Run: 12,070,621,184 octets libres
__________________________________________________________________________________________

ca dit quoi?

Répondre à eff

afideg, le 14 avr 2008 à 02:50:16

Re,
J'arrive
Patience-Vigilance-Amour.

Répondre à afideg

afideg, le 14 avr 2008 à 03:17:10

(suite)

Voilà

A)- Connais-tu ce truc ? ==> O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"

J'ai aussi un doute ici:
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
==> Note: File is located under C:\Program Files\FlashSaver\

B)- Traitement

1°- Tu as toujours l'icône de ComboFix sur le bureau.
2°- Les protections en temps réel sont à nouveau à désactiver (Tea-Timer de Spybot S&D, et SpyWare Doctor)

3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\zedahsvm.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe

Folder::
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AD2D53E7-8491-4497-80B9-31A1F2B64ABB}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tyfvuaqx"=-
"qqjyeask"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"tIVlFTkB2R"=-
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"mpfnjich"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]

4°- Copie le texte sélectionné (CTRL+C) ==> en appuyant simultanément sur les touches CTRL et C.
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V) ==> en appuyant simultanément sur les touches CTRL et V .
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript1.txt
• Regarde ici (ce n’est qu’un exemple !) < http://img509.imageshack.us/img509/5984/screenshot332wc3.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” -"tristan.exe"- sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript1.txt ” sur le fichier “ComboFix.exe” -"tristan.exe"- comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >
L'icône ComboFix.exe change alors de "brillance" dans sa couleur.
Un module s'affiche ==> clic sur "Exécuter"

Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

C)- Relance HJT « Do a system Scan only », sur la page/rapport qui s'affiche ( laisse lui le temps de tout scanner ) coche la case devant ces lignes:

O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O4 - HKCU\..\Run: [tyfvuaqx] C:\WINDOWS\system32\zedahsvm.exe
O4 - HKCU\..\Run: [qqjyeask] C:\WINDOWS\system32\mxsbqvqv.exe
O4 - HKLM\..\Policies\Explorer\Run: [tIVlFTkB2R] C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - <http://go.microsoft.com/fwlink/?linkid=39204> => Microsoft - WGA
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - <http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab>
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/... <http://www.update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - <http://download.divx.com/player/DivXBrowserPlugin.cab> => DivXBrowserPlugin
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - <http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab> => Windows Live
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - <http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab>
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - <http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab>
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)

•-Arrête tous les programmes en cours et ferme toutes les fenêtres.
( seul HijackThis doit être ouvert ) ,
•- et ensuite Clic [Fix checked]

D)- Reconnecte tes protections

E)- Poste un nouveau rapport HJT

F)- Termine avec ce "Scan en ligne de Kaspersky</scan>" http://webscanner.kaspersky.fr/ sous "Internet Explorer".
<gras> Branche ton Disque Externe (clé USB) éventuellement
- Clique sur "Démarrer Online-Scanner" ( en bas à droite de la page) .
- Clique maintenant sur "J'accepte".
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des "Mises à jour".
Clic sur « Paramètres d'analyse »
Coche la case "Étendue" >> Ok
- Choisis par la suite l'analyse du "Poste de travail" pour faire un « Scan complet ».
- Sauvegarde puis colle le rapport généré en fin d'analyse.
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-SaveReport-1.gif
http://i204.photobucket.com/albums/bb106/Juliet702/Kas-Savetxt.gif

AIDE : Configurer le contrôle des ActiveX < http://www.inoculer.com/activex.php3 >
Tuto ici si problème : http://www.vista-xp.fr/forum/topic109.html
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Merci pour ta patience
Courage
Bonne nuit
Al.

Ce n'est pas fini; mais je dois me reposer maintenant.
Patience-Vigilance-Amour.

Répondre à afideg

afideg, le 14 avr 2008 à 03:24:04

Attention

J'ai ajouté une ligne au CFSript
Patience-Vigilance-Amour.

Répondre à afideg

eff, le 14 avr 2008 à 19:14:38

Hello afideg , bon voilà jviens de revenir du travail et jmis suis mis direct voila le log combo demandé , juste une question , au demarrage quand j'ai glissé le fichier txt sur l'icone combo tout a demarré normal et puis avertissement, l'installation a échoué, j'ai cliqué sur le ok et le scan a demarré , donc jme pose la question est ce normal et le scan est t'il juste?

_____________________________________________________________________________________________
ComboFix 08-04-13.1 - eff 2008-04-14 19:02:56.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.757 [GMT 2:00]
Endroit: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\tristan.exe
Command switches used :: C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\CFScript1.txt
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!/b /color

FILE ::
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\msdownld.tmp
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\zedahsvm.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb
C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe
C:\WINDOWS\system32\fdofokqt.ini
C:\WINDOWS\system32\iwpsetup.exe
C:\WINDOWS\system32\mxsbqvqv.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\system32\zedahsvm.exe

.
((((((((((((((((((((((((((((( Fichiers créés 2008-03-14 to 2008-04-14 ))))))))))))))))))))))))))))))))))))
.

2008-04-14 02:34 . 2008-04-14 02:34 98,304 --a------ C:\WINDOWS\system32\khwnerqr.exe
2008-04-14 01:07 . 2008-04-14 01:07 <REP> d-------- C:\Program Files\Trend Micro
2008-04-14 00:46 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-14 00:46 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-04-14 00:46 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-14 00:35 . 2008-04-14 00:39 <REP> d-------- C:\Program Files\MSNFix
2008-04-13 18:38 . 2008-04-13 18:38 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
2008-04-13 13:23 . 2008-04-13 13:23 <REP> d-------- C:\VundoFix Backups
2008-04-13 11:21 . 2008-04-13 11:21 5,264 --a------ C:\cc_20080413_1121.reg
2008-04-13 11:19 . 2008-04-13 11:20 52,096 --a------ C:\cc_20080413_1119.reg
2008-04-13 11:17 . 2008-04-13 11:17 <REP> d-------- C:\Program Files\CCleaner
2008-04-13 10:52 . 2008-04-14 18:59 <REP> d-a------ C:\Documents and Settings\All Users.WINDOWS\Application Data\TEMP
2008-04-13 10:51 . 2008-04-13 19:58 <REP> d-------- C:\Program Files\Spyware Doctor
2008-04-13 10:51 . 2008-04-13 10:51 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC Tools
2008-04-13 10:51 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-04-13 10:51 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-04-13 10:51 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-04-13 10:51 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-04-13 10:46 . 2008-04-13 10:46 <REP> d-------- C:\Program Files\Google
2008-04-13 10:46 . 2008-04-14 19:05 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Google Updater
2008-04-13 02:46 . 2008-04-13 02:46 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-13 02:46 . 2008-04-13 03:30 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Spybot - Search & Destroy
2008-04-13 02:22 . 2008-04-13 03:00 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage réseau
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Voisinage d'impression
2008-04-13 02:12 . 2007-11-11 14:34 <REP> d--h----- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Modèles
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Mes documents
2008-04-13 02:12 . 2007-11-11 15:17 <REP> dr------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Menu Démarrer
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Favoris
2008-04-13 02:12 . 2007-11-11 15:17 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73\Bureau
2008-04-13 02:12 . 2008-04-13 02:12 <REP> d-------- C:\Documents and Settings\Administrateur.EFF-CF77F548B73
2008-04-13 01:41 . 2008-04-13 03:28 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Antispyware
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft
2008-04-13 00:41 . 1997-01-16 00:00 29,696 --a------ C:\WINDOWS\system32\VB5STKIT.DLL
2008-04-13 00:41 . 1997-01-16 13:42 6,114 --a------ C:\WINDOWS\system32\SHELLLNK.TLB
2008-04-12 20:31 . 2008-04-12 20:31 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\null
2008-04-12 16:36 . 2008-04-12 16:46 12,191 --a------ C:\WINDOWS\system32\CKRES.VDF
2008-04-12 16:36 . 2008-04-12 16:46 1,440 --a------ C:\WINDOWS\system32\CKSYS.VDF
2008-04-12 12:10 . 2008-04-12 16:26 161 --a------ C:\WINDOWS\system32\CielComponent.ini
2008-04-12 12:01 . 2008-04-12 12:01 753,664 --a------ C:\WINDOWS\system32\ifsrel.dll
2008-04-12 12:01 . 2002-10-29 10:35 663,552 --------- C:\WINDOWS\CielInfos.exe
2008-04-12 12:01 . 2003-06-13 15:27 360,448 --a------ C:\WINDOWS\system32\CielArchiver.dll
2008-04-12 12:01 . 2008-04-12 12:01 172,032 --a------ C:\WINDOWS\system32\portal.dll
2008-04-12 12:01 . 2008-04-12 12:01 69,632 --a------ C:\WINDOWS\system32\coface.dll
2008-04-12 11:31 . 2003-06-18 14:20 208,896 --a------ C:\WINDOWS\system32\CRun500.dll
2008-04-12 11:29 . 2008-04-12 11:48 <REP> d-------- C:\Program Files\Ciel e-Commerce
2008-04-06 20:46 . 2008-04-06 20:46 <REP> d-------- C:\Program Files\MSXML 4.0
2008-04-06 13:27 . 2008-04-06 13:27 8,224 --a------ C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2008-04-06 12:33 . 2008-04-06 12:41 <REP> d-------- C:\Program Files\Steinberg
2008-04-03 11:36 . 2008-04-03 11:36 244 --ah----- C:\sqmnoopt14.sqm
2008-04-03 11:36 . 2008-04-03 11:36 232 --ah----- C:\sqmdata14.sqm
2008-04-03 01:03 . 2008-04-03 01:03 244 --ah----- C:\sqmnoopt13.sqm
2008-04-03 01:03 . 2008-04-03 01:03 232 --ah----- C:\sqmdata13.sqm
2008-04-02 15:28 . 2008-04-02 15:28 244 --ah----- C:\sqmnoopt12.sqm
2008-04-02 15:28 . 2008-04-02 15:28 232 --ah----- C:\sqmdata12.sqm
2008-04-02 12:09 . 2008-04-02 12:09 244 --ah----- C:\sqmnoopt11.sqm
2008-04-02 12:09 . 2008-04-02 12:09 232 --ah----- C:\sqmdata11.sqm
2008-04-02 00:11 . 2008-04-02 00:11 244 --ah----- C:\sqmnoopt10.sqm
2008-04-02 00:11 . 2008-04-02 00:11 232 --ah----- C:\sqmdata10.sqm
2008-04-01 14:39 . 2008-04-01 14:39 268 --ah----- C:\sqmdata09.sqm
2008-04-01 14:39 . 2008-04-01 14:39 244 --ah----- C:\sqmnoopt09.sqm
2008-03-31 00:58 . 2008-03-31 00:58 244 --ah----- C:\sqmnoopt08.sqm
2008-03-31 00:58 . 2008-03-31 00:58 232 --ah----- C:\sqmdata08.sqm
2008-03-30 12:00 . 2008-03-30 12:00 244 --ah----- C:\sqmnoopt07.sqm
2008-03-30 12:00 . 2008-03-30 12:00 232 --ah----- C:\sqmdata07.sqm
2008-03-30 03:41 . 2008-03-30 03:41 244 --ah----- C:\sqmnoopt06.sqm
2008-03-30 03:41 . 2008-03-30 03:41 232 --ah----- C:\sqmdata06.sqm
2008-03-29 17:32 . 2008-03-29 17:32 244 --ah----- C:\sqmnoopt05.sqm
2008-03-29 17:32 . 2008-03-29 17:32 232 --ah----- C:\sqmdata05.sqm
2008-03-29 12:57 . 2008-03-29 12:57 244 --ah----- C:\sqmnoopt04.sqm
2008-03-29 12:57 . 2008-03-29 12:57 232 --ah----- C:\sqmdata04.sqm
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\WINDOWS\system32\windows media
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d--h----- C:\WINDOWS\msdownld.tmp
2008-03-29 10:55 . 2008-03-29 10:55 <REP> d-------- C:\Program Files\Windows Media Components
2008-03-29 02:05 . 2008-03-29 02:05 244 --ah----- C:\sqmnoopt03.sqm
2008-03-29 02:05 . 2008-03-29 02:05 232 --ah----- C:\sqmdata03.sqm
2008-03-28 14:59 . 2008-03-28 14:59 244 --ah----- C:\sqmnoopt02.sqm
2008-03-28 14:59 . 2008-03-28 14:59 232 --ah----- C:\sqmdata02.sqm
2008-03-28 14:35 . 2005-02-26 07:34 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2008-03-28 12:44 . 2008-03-28 12:44 <REP> d-------- C:\Program Files\Fichiers communs\Micro Application Shared
2008-03-28 10:58 . 2008-03-28 10:58 244 --ah----- C:\sqmnoopt01.sqm
2008-03-28 10:58 . 2008-03-28 10:58 232 --ah----- C:\sqmdata01.sqm
2008-03-28 10:26 . 2008-03-28 10:26 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\ALM
2008-03-28 02:46 . 2008-03-28 02:46 244 --ah----- C:\sqmnoopt00.sqm
2008-03-28 02:46 . 2008-03-28 02:46 232 --ah----- C:\sqmdata00.sqm
2008-03-28 02:35 . 2008-03-28 02:46 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\LogoMaker
2008-03-28 02:13 . 2008-03-28 02:24 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Download Manager
2008-03-20 03:06 . 2008-03-20 03:06 <REP> d-------- C:\Program Files\Fichiers communs\Stardock
2008-03-20 03:05 . 2008-03-20 04:13 163,712 --a------ C:\WINDOWS\system32\drivers\vidstub.sys
2008-03-18 00:56 . 2008-03-18 00:56 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Sony Corporation
2008-03-18 00:52 . 2006-11-02 17:57 118,520 --a------ C:\WINDOWS\system32\PxInsI64.exe
2008-03-18 00:52 . 2006-10-18 20:43 115,960 --a------ C:\WINDOWS\system32\PxCpyI64.exe
2008-03-18 00:44 . 2008-03-18 00:44 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\InstallShield
2008-03-16 15:31 . 2008-03-16 15:31 286,720 --------- C:\WINDOWS\Setup1.exe
2008-03-16 15:31 . 2008-03-16 15:31 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-03-15 13:49 . 2004-08-19 17:09 21,504 --a------ C:\WINDOWS\system32\hidserv.dll
2008-03-15 13:49 . 2004-08-19 17:09 21,504 --a--c--- C:\WINDOWS\system32\dllcache\hidserv.dll
2008-03-15 13:49 . 2004-08-19 17:00 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-03-15 13:49 . 2004-08-19 17:00 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-03-15 13:49 . 2001-08-23 18:04 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-14 16:50 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab
2008-04-14 00:41 384,212 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-14 00:41 31,064,352 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-14 00:41 101,108 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-14 00:41 1,043,488 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-12 10:03 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-06 10:34 --------- d-----w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Steinberg
2008-03-25 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\DVD Shrink
2008-03-21 22:38 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\WinZip
2008-03-21 00:00 238,000 ----a-w C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GDIPFONTCACHEV1.DAT
2008-03-04 17:40 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Application Data\Bluetooth
2008-01-06 10:13 7,163 ----a-w C:\Program Files\INSTALL.LOG
2006-02-19 02:28 12,288 ----a-w C:\WINDOWS\Fonts\RandFont.dll
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((( snapshot@2008-04-14_ 2.07.33.51 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-14 00:03:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-14 16:49:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-03-02 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2006-03-02 14:00 455168]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-10-30 15:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-10-30 15:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"HP Software Update"="E:\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 13:34 406016]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2005-09-05 09:55 339968]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 10:34 192512]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"Adobe Reader Speed Launcher"="E:\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 13:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 15360]

C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Contr“leur de calendrier Ulead.lnk - E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe [2007-11-13 01:21:11 69632]
D‚marrage rapide de HP Photosmart Premier.lnk - E:\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 08:56:20 73728]
HP Digital Imaging Monitor.lnk - E:\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
InterVideo WinCinema Manager.lnk.disabled [2007-11-12 01:51:21 697]
Microsoft Office.lnk - E:\Microsoft Office\Office10\OSA.EXE [2001-02-13 12:01:04 83360]
Outil de mise … jour Google.lnk.disabled [2008-04-13 10:46:48 946]
WinZip Quick Pick.lnk - E:\WinZip\WZQKPICK.EXE [2007-08-03 12:10:00 394856]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
ddcDsRJc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=C:\WINDOWS\system32\ydcbcnmh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe"=
"E:\\Shareaza\\Shareaza.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"E:\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"E:\\Microsoft Games\\Halo\\halo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009

R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 10:11]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 15:58]
R3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]

.
Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
"2008-04-14 16:50:09 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
"2008-04-14 16:53:20 C:\WINDOWS\Tasks\User_Feed_Synchronization-{1F13D858-319E-4E0B-9508-8D9195F671F7}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-14 19:05:47
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-14 19:06:50
ComboFix-quarantined-files.txt 2008-04-14 17:06:47
ComboFix2.txt 2008-04-14 00:08:04

Pre-Run: 12,050,214,912 octets libres
Post-Run: 12,038,500,352 octets libres

__________________________________________________________________________________________

Répondre à eff

eff, le 14 avr 2008 à 19:22:55

Et voila le log hijack avant rectification

_______________________________________________________________________________________
_Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:34, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\DAEMON Tools\daemon.exe
E:\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
E:\HP\Digital Imaging\bin\hpqtra08.exe
E:\WinZip\WZQKPICK.EXE
e:\Glary Utilities\Integrator.exe
E:\HP\Digital Imaging\bin\hpqimzone.exe
E:\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D35DD6F-E933-4AC7-9F04-4EC47E75B4AC} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AD2D53E7-8491-4497-80B9-31A1F2B64ABB} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://uniffacoworld.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Contrôleur de DownloadManager) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: ddcDsRJc - ddcDsRJc.dll (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
End of file - 8883 bytes
___________________________________________________________________________________________

Répondre à eff

eff, le 14 avr 2008 à 19:46:51

Et le log hijack après rectification
______________________________________________________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:41:33, on 14/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] E:\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Contrôleur de calendrier Ulead.lnk = E:\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = E:\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = E:\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk.disabled
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Outil de mise à jour Google.lnk.disabled
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - E:\FLASHS~1.0\save.htm
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
End of file - 7015 bytes
________________________________________________________________________________________

je te signale en meme temps que je n'ai pas pu cocher les lignes suivantes que tu m'avais indiquées puisqu'elles ne s'y trouvaient pas

O4 - HKCU\..\Run: [tyfvuaqx] C:\WINDOWS\system32\zedahsvm.exe
O4 - HKCU\..\Run: [qqjyeask] C:\WINDOWS\system32\mxsbqvqv.exe
O4 - HKLM\..\Policies\Explorer\Run: [tIVlFTkB2R] C:\Documents and Settings\All Users.WINDOWS\Application Data\evsjgtsb\wjehapsv.exe

Répondre à eff

afideg, le 14 avr 2008 à 22:36:33

Bonsoir eff,

Je suis belge, et toi ?

J'analyse les rapports.
N'oublie pas Scan en ligne de Kaspersky (je sais, parfois long).

Merci

Mais déjà des applications à faire, SVP.

A)- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
==> http://forum.malekal.com/viewtopic.php?f=56&t=9566
PC-Cleaner est un rogue qui se dit pouvoir nettoyer les traces laissées par les sites visités, ce dernier va afficher des alertes si vous surfez sur des sites pornographiques disant que des traces restent sur l'ordinateur.
Le seul but de ces fausses alertes est de vous faire acheter ce faux anti-spyware.
Donc, vas le supprimer dans C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data <-- dans ce répertoire.

B)- Connais-tu ce truc ? ==> O4 - HKLM\..\RunOnce: [SpybotDeletingC8168] cmd /c del "C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\Spyware&Malware Protection.url"

•- Il faut donc faire ceci:
Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Toujours télécharger avant l'utilisation pour profiter des dernières mises à jour.
Utilisation:

1- Recherche:

Clic sur le lien ci-dessus, puis [exécuter]; ensuite une seconde fois sur "Exécuter" -patienter- (à ce moment, un dossier SmitfraudFix s’affiche sur le bureau ) ==> suivre instructions de la page bleue qui vient de s’ouvrir .
Sélectionner 1(taper 1) et pressez [Entrée] dans le menu (pour créer un rapport des fichiers responsables de l'infection.)

Dans ta prochaine réponse, fais un copier/coller du rapport qui s'ouvre; <gras>et poste-le.
Renomme-le « Rapport1.txt », c’est très important pour la suite. </gras>
Le rapport se trouve à la racine du disque système C:\rapport1.txt

2- Nettoyage:

•- Redémarre en mode sans échec, pour cela, redémarre l'ordinateur > et pendant la page bios (noire et blanche) avant le logo Windows, tapote à répétition sur la touche F8 > un menu va apparaître > avec le bloc des flèches sur clavier, choisis "Mode sans échec" et appuie sur la touche [Entrée] du clavier. ==> comme ceci : http://www.coupdepoucepc.com/modules/news/article.php?storyid=253
Sois patient, et ne sois pas étonné de l'aspect de l'écran.

•- Ouvre le dossier SmitfraudFix qui est sur le bureau
•- Double-clic sur Smitfraud.cmd ==> suivre instructions de la page bleue qui vient de s’ouvrir ((ne clique sur aucun autre fichier!!!)
•- Sélectionner 2 et pressez [Entrée] dans le menu pour supprimer les fichiers responsables de l'infection.
•- A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez [Entrée] afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le fix déterminera si le fichier wininet.dll est infecté.
•- A la question: Corriger le fichier infecté ? Répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Arrête, puis Redémarre en mode normal

Le rapport se trouve à la racine du disque système C:\<gras>rapport.txt ; tu le postes pour contrôle (avec celui renommé en Rapport1.txt qui se trouve à la racine du disque système C:\rapport1.txt.</gras>)

C)- Il faut faire analyser ces deux fichiers chez VirusTotal
C:\WINDOWS\Setup1.exe <-- le fichier
C:\WINDOWS\ST6UNST.EXE <-- le fichier

Comme ceci:

1°- Soit en faisant « Démarrer »/ "PanneauConfiguration"/"OptionsDossiers" /onglet « Affichage »
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système,
n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]

Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

2°- Ensuite vas là :< http://www.virustotal.com/ >
< http://www.virustotal.com/en/indexf.html >
Vas là :< http://www.virustotal.com/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier Setup1.exe
c'est-à-dire via "Poste de travail" > C:\WINDOWS\
•- quand tu as trouvé le premier fichier Setup1.exe, tu fais "ouvrir" ( sur cette dernière page affichée)
•- le fichier Setup1.exe se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.

Fais la même chose avec C:\WINDOWS\ST6UNST.EXE <-- le fichier

D) J'ai un doute aussi pour ce logiciel Glary Soft
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-04-14 00:03:36 C:\WINDOWS\Tasks\GlaryInitialize.job"
- e:\Glary Utilities\initialize.exe
2008-04-13 01:18 . 2008-04-13 01:18 <REP> d-------- C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\Glary Soft
C'est un peu le <clone> de TuneUpUtilities (TUU)
Une remarque pour éviter des moments d'énervement : quand on ouvre le logiciel, il s'installe aussi en mini dans la barre des tâches. Pour le fermer, il vaut mieux le faire en fermant l'icône dans la barre des tâches, sinon le programme se fige.
http://forum.zebulon.fr/lofiversion/index.php/t138546.html
•- Je vais le supprimer ==> tu n'auras quà le re-télécharger si tu ne peux pas t'en passer. ;)

E)- Télécharger OAD (Outil d'Aide au Diagnostic)< http://sosvirus.changelog.fr/OAD.exe >
•-Enregistre-le sur ton bureau
•- Lancer « OAD.exe » en faisant un double-clic sur le fichier < http://sosvirus.changelog.fr/OAD/1.bmp > , puis « Exécuter »
==> une page bleue s’affiche.
•- Saisir la valeur recherchée ( = nom de fichier à rechercher ) : faire un copier/coller de ddcDsRJc
, puis [Enter]
==> une nouvelle page bleue s’affiche.
- Type de recherche : taper 6 (sélectionner l'option 6) puis valide [entrée]
< http://sosvirus.changelog.fr/OAD/4.bmp >
•- OAD va maintenant rechercher le fichier.
Laisse-le travailler jusqu'à ce qu'il en ait terminé.
Suivant la taille des disques durs, cette recherche peut prendre plusieurs minutes.
Patienter.
•- Le rapport de recherche s'affichera automatiquement dès qu'il en aura terminé.
•- Faire un copier/coller de ce rapport dans ton prochain post.

•-Note: Certains Antivirus (comme Panda) peuvent émettre une alerte lors de "téléchargement / utilisation".
Manuel d’aide ici http://forum.pcastuces.com/oad__deaur3n7-f31s13.htm

Répète l'opération identique pour ce fichier ydcbcnmh.exe

F)- Relance un nouveau CFSript pour ComboBix, comme indiqué au post #6/
Voici le CFSript à utiliser ==> tu le nommes : CFSript2.txt
(Supprime le CFSript1.txt de ton bureau)

File::
C:\WINDOWS\system32\khwnerqr.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll

Folder::
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft

Driver::
ddcDsRJc

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcDsRJc]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"mpfnjich"=-

Poste le rapport final, SVP

Merci pour ta collaboration
Bonne soirée
Al.

Patience-Vigilance-Amour.

Répondre à afideg

eff, le 14 avr 2008 à 23:33:54

Re afideg, idem belge,oui kaspersky en a pour la nuit,en 2 heure il a scanné 5% a peine, donc je vais deja appliquer ce que tu me signale et laisser en kasper faire le fantome tout seul cette nuit , en tout cas je n'ai pas encore eu de fenetre pub ou avertissement intempestive jusque maintenant

Répondre à eff

afideg, le 14 avr 2008 à 23:45:29

Re,

Laisse terminer Kaspersky avant d'attaquer la suite .
Parce que tu vas devoir arrêter le PC pour SmitfraudFix en Mode sans échec.

Merci
Al.
Patience-Vigilance-Amour.

Répondre à afideg

eff, le 14 avr 2008 à 23:48:44

Rapport smitfraudfix deja
__________________________________________________________________________________________
SmitFraudFix v2.314

Rapport fait à 23:38:57,40, 14/04/2008
Executé à partir de C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
E:\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\vsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
E:\WinZip\WZQKPICK.EXE
E:\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\PROGRA~1\WINDOW~4\MESSEN~1\msnmsgr.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\eff.EFF-CF77F548B73

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\EFF~1.EFF\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte Fast Ethernet PCI de base SiS 900 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

_____________________________________________________________________________________
et hop mode sans echec pour nettoyer

Répondre à eff

afideg, le 14 avr 2008 à 23:57:30

Re,

Je m'attendais (j'espérais) à voir ceci:
C:\DOCUME~1\EFF~1.EFF\Bureau\Spyware?Malware Protection.url PRESENT !
C:\DOCUME~1\EFF~1.EFF\Favoris\Spyware?Malware Protection.url PRESENT !

Mais c'est quoi ceci eff.EFF-CF77F548B73

N'interromps pas Kaspersky.

;)
Patience-Vigilance-Amour.

Répondre à afideg

eff, le 15 avr 2008 à 00:15:54

Rapport smit mode sans echec apres nettoyage

SmitFraudFix v2.314

Rapport fait à 23:53:22,64, 14/04/2008
Executé à partir de C:\Documents and Settings\eff.EFF-CF77F548B73\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1EA536E7-7F57-4244-B97E-1F4CD2757863}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

et pour ca"eff.EFF-CF77F548B73 " je vais regarder attend

Répondre à eff

marjo, le 15 avr 2008 à 00:16:43

Salut afideg,
suite à une avertissement concernant abebot j'ai suivi tous tes conseils, j'ai l'impression que sa a fonctionné par contre qu'est ce que je fait de l'icône tristant sur mon bureau est ce que je peut l'effacé merci.

Répondre à marjo

eff, le 15 avr 2008 à 00:27:25

Eff.EFF-CF77F548B73 c'est un dossier ou se trouve favoris documents recents etc etc , comme le dossier administrateur, all users, etc,default users , j'en ai neuf, de noms differents et tous ont un tit quelque chose dans leurs dossier, me demande pas pourquoi , j'ai jamais eu la reponse mais jme demande si c'est pas a cause de disque dur externe etc etc

Répondre à eff

eff, le 15 avr 2008 à 00:47:45

Re afideg , voila le 1er rapport virustotal pour setup1.exe
_________________________________________________________________________________________
Fichier Setup1.exe reçu le 2008.04.15 00:33:24 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 -
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.14 -
AVG 7.5.0.516 2008.04.14 -
BitDefender 7.2 2008.04.14 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.15 -
DrWeb 4.44.0.09170 2008.04.14 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 -
F-Secure 6.70.13260.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.14 -
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 -
Rising 20.40.02.00 2008.04.14 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 -

Information additionnelle
File size: 286720 bytes
MD5...: e40041e0ca436c712332edaa9db7df08
SHA1..: deb8ead922f4f1acbadebf0db998f6ba2dc53db0
SHA256: 6a15b76e1526e1fd6ebaecacc59c3e954d0feb0b566c81538ea6dad2edcffe16
SHA512: 1111be364c3d81dc919d1e7ba7bd141cda6555844d889f00a2b2cb0ee5c19bd0 b122ae4b574a3cdfa268668eebec43fa265b44e1b8fa28faaa335824647b8bc2
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x403ea0 timedatestamp.....: 0x358c54e7 (Sun Jun 21 00:33:43 1998) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x3d7e0 0x3e000 6.02 bb300a203cd66e00982fd611b38c233b .data 0x3f000 0x54c8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x45000 0x5948 0x6000 3.37 8ebf3f5e1072a20eae63c58aa0d91ab2 ( 1 imports ) > MSVBVM60.DLL: __vbaVarTextTstLe, __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaStrI4, __vbaVarVargNofree, __vbaFreeVar, __vbaLineInputStr, __vbaGosubReturn, -, __vbaStrVarMove, __vbaLenBstr, -, -, __vbaFreeVarList, _adj_fdiv_m64, __vbaFreeObjList, -, _adj_fprem1, __vbaRecAnsiToUni, -, -, __vbaCopyBytes, __vbaResume, __vbaStrCat, __vbaLsetFixstr, -, __vbaVarTextTstEq, __vbaSetSystemError, __vbaRecDestruct, __vbaNameFile, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32, -, __vbaAryDestruct, __vbaLateMemSt, -, __vbaForEachCollObj, __vbaBoolStr, __vbaExitProc, __vbaFileCloseAll, -, __vbaCyAdd, __vbaOnError, __vbaObjSet, _adj_fdiv_m16i, -, __vbaObjSetAddref, _adj_fdivr_m16i, -, __vbaStrFixstr, __vbaBoolVar, -, __vbaForEachCollVar, __vbaStrTextCmp, -, __vbaBoolVarNull, _CIsin, -, __vbaErase, __vbaVarCmpGt, __vbaLateMemStAd, __vbaNextEachCollObj, -, -, __vbaVarZero, __vbaChkstk, __vbaGosubFree, __vbaFileClose, -, EVENT_SINK_AddRef, -, -, __vbaGenerateBoundsError, __vbaStrCmp, __vbaCyI2, -, __vbaCyI4, __vbaObjVar, __vbaNextEachCollVar, __vbaPrintObj, __vbaI2I4, DllFunctionCall, __vbaVarOr, __vbaVarLateMemSt, __vbaLbound, __vbaRedimPreserve, _adj_fpatan, __vbaR4Var, __vbaLateIdCallLd, __vbaRedim, __vbaRecUniToAnsi, EVENT_SINK_Release, __vbaNew, -, __vbaVarTextTstNe, __vbaUI1I2, _CIsqrt, __vbaVarAnd, EVENT_SINK_QueryInterface, __vbaFpCmpCy, __vbaVarTextCmpEq, __vbaVarMul, __vbaExceptHandler, __vbaPrintFile, __vbaStrToUnicode, -, _adj_fprem, _adj_fdivr_m64, __vbaGosub, -, __vbaI2Str, __vbaVarDiv, -, -, -, __vbaFPException, __vbaInStrVar, -, -, __vbaStrVarVal, __vbaUbound, -, -, __vbaVarCat, __vbaDateVar, __vbaI2Var, -, -, -, _CIlog, -, __vbaErrorOverflow, __vbaFileOpen, -, -, __vbaInStr, __vbaNew2, -, __vbaCyMulI2, _adj_fdiv_m32i, -, _adj_fdivr_m32i, -, __vbaStrCopy, -, __vbaFreeStrList, -, __vbaDerefAry1, __vbaVarTextTstGt, _adj_fdivr_m32, __vbaPowerR8, -, _adj_fdiv_r, -, -, -, -, __vbaI4Var, __vbaAryLock, __vbaLateMemCall, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, -, __vbaFpI2, -, __vbaFpI4, __vbaVarCopy, __vbaVarLateMemCallLd, -, __vbaLateMemCallLd, _CIatan, -, __vbaStrMove, __vbaCastObj, __vbaStrVarCopy, -, -, _allmul, __vbaLenVarB, __vbaLateIdSt, -, __vbaVarTextCmpNe, _CItan, -, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaMidStmtBstr, -, __vbaFreeStr, __vbaFreeObj, - ( 0 exports ) 

j'y vais pour le second

Répondre à eff

eff, le 15 avr 2008 à 00:59:13

Et le second
___________________________________________________________________________________________
Fichier ST6UNST.EXE reçu le 2008.04.15 00:53:54 (CET)Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.15.0 2008.04.14 -
AntiVir 7.6.0.85 2008.04.14 -
Authentium 4.93.8 2008.04.14 -
Avast 4.8.1169.0 2008.04.14 -
AVG 7.5.0.516 2008.04.14 -
BitDefender 7.2 2008.04.14 -
CAT-QuickHeal 9.50 2008.04.14 -
ClamAV 0.92.1 2008.04.15 -
DrWeb 4.44.0.09170 2008.04.14 -
eSafe 7.0.15.0 2008.04.09 -
eTrust-Vet 31.3.5699 2008.04.14 -
Ewido 4.0 2008.04.14 -
F-Prot 4.4.2.54 2008.04.14 -
F-Secure 6.70.13260.0 2008.04.15 -
FileAdvisor 1 2008.04.15 -
Fortinet 3.14.0.0 2008.04.14 -
Ikarus T3.1.1.26 2008.04.14 -
Kaspersky 7.0.0.125 2008.04.15 -
McAfee 5273 2008.04.14 -
Microsoft 1.3408 2008.04.14 -
NOD32v2 3026 2008.04.14 -
Norman 5.80.02 2008.04.14 -
Panda 9.0.0.4 2008.04.14 -
Prevx1 V2 2008.04.15 -
Rising 20.40.02.00 2008.04.14 -
Sophos 4.28.0 2008.04.15 -
Sunbelt 3.0.1041.0 2008.04.12 -
Symantec 10 2008.04.14 -
TheHacker 6.2.92.277 2008.04.14 -
VBA32 3.12.6.4 2008.04.14 -
VirusBuster 4.3.26:9 2008.04.14 -
Webwasher-Gateway 6.6.2 2008.04.14 -

Information additionnelle
File size: 73216 bytes
MD5...: 996f83e516552ca3b51445bb994a6d38
SHA1..: 56fc6ba49195dedf735e6ce1b03ab36d72334f66
SHA256: 7e60c894a8cead6880fd3ed040504d02304a0b961304e40741340e31f5fa973d
SHA512: 5868100fdb274dbad44ea0996aa4ed0a930cce5c61ce55631869bd19ee09feb8 a957bf2a4a87ba563f48bb65807dae5b2363c042d451843e9598b10f6c334d2f
PEiD..: InstallShield 2000
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4080c0 timedatestamp.....: 0x35895e6d (Thu Jun 18 18:37:33 1998) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xa9f5 0xaa00 6.38 be72f98a15ebe8bc983139a077df8032 .rdata 0xc000 0x1a52 0x1c00 5.15 c86d8eb1bd161433edaebb9900da49ad .data 0xe000 0x4678 0x2e00 1.72 be105b956c09e423dbd672cd44ddc0ba .rsrc 0x13000 0x24e0 0x2600 3.54 362a8a318293fe1f63a341f5db7fe423 ( 7 imports ) > KERNEL32.dll: CreateFileA, ReadFile, LocalFree, SetFilePointer, LocalAlloc, GlobalDeleteAtom, Sleep, GlobalAddAtomA, GlobalFree, GlobalAlloc, IsDBCSLeadByte, GlobalLock, GlobalFindAtomA, CompareStringA, WideCharToMultiByte, WriteFile, CloseHandle, GetWindowsDirectoryA, OpenProcess, GetVersion, FreeLibrary, RemoveDirectoryA, GetLastError, DeleteFileA, FindFirstFileA, FindClose, lstrlenA, lstrcpyA, lstrcatA, lstrcmpA, lstrcpynA, MultiByteToWideChar, CreateProcessA, WaitForSingleObject, SetErrorMode, GetCurrentDirectoryA, OutputDebugStringA, LoadLibraryA, GetProcAddress, GetFileAttributesA, GlobalUnlock, VirtualAlloc, IsBadWritePtr, IsBadReadPtr, SetUnhandledExceptionFilter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, IsBadCodePtr, FreeEnvironmentStringsW, FreeEnvironmentStringsA, lstrcmpiA, GetModuleFileNameA, UnhandledExceptionFilter, GetOEMCP, GetACP, GetCPInfo, HeapAlloc, HeapFree, GetCommandLineA, GetStartupInfoA, GetModuleHandleA, GetCurrentProcess, TerminateProcess, ExitProcess, SetCurrentDirectoryA, SetEnvironmentVariableA, RtlUnwind, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW > USER32.dll: PackDDElParam, SendMessageA, DispatchMessageA, DefWindowProcA, CharNextA, DestroyWindow, UnregisterClassA, CreateWindowExA, RegisterClassA, wsprintfA, UnpackDDElParam, LoadStringA, LoadIconA, LoadCursorA, MessageBoxA, wvsprintfA, TranslateMessage, GetMessageA, SetCursor, ShowCursor, SetDlgItemTextA, SetWindowLongA, EndDialog, GetDlgItem, SetFocus, DialogBoxParamA, UpdateWindow, SetWindowTextA, InvalidateRect, CharUpperA, CharPrevA, BeginPaint, GetClientRect, DrawTextA, SetRect, EndPaint, PostQuitMessage, GetSystemMenu, EnableMenuItem, CreateDialogParamA, GetWindowRect, GetSystemMetrics, SetWindowPos, ShowWindow, PostMessageA, PeekMessageA, FillRect, SetClassLongA > GDI32.dll: CreateSolidBrush, SetROP2, Rectangle, SelectObject, SetTextColor, SetBkMode, GetStockObject, GetTextMetricsA, ExtTextOutA, CreateFontIndirectA, DeleteObject > ADVAPI32.dll: RegOpenKeyA, RegEnumValueA, RegEnumKeyA, RegDeleteKeyA, RegCloseKey, RegDeleteValueA, RegQueryValueExA, RegSetValueExA, RegCreateKeyA > SHELL32.dll: SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA > ole32.dll: OleInitialize, OleUninitialize > OLEAUT32.dll: - ( 0 exports ) 

___________________________________________________________________________________________
tous deux negatifs je pense

Répondre à eff

afideg, le 15 avr 2008 à 01:04:15

Re,

Merci pour l'analyse de ces deux fichiers chez VirusTotal.

Passe aux deux autres avec OAD (merci)

« Laisse terminer Kaspersky avant d'attaquer la suite .
Parce que tu vas devoir arrêter le PC pour SmitfraudFix en Mode sans échec. »

Comment as-tu lancé le MSE sans interrompre le Scan Kaspersky en cours ?

Patience-Vigilance-Amour.

Répondre à afideg

eff, le 15 avr 2008 à 01:23:21

Rapport oad sur ddcDsRJc

15/04/2008 ---- 1:20:30,92

----------------------------------
§§§§§§ [ddcDsRJc] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDsRJc]

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

Répondre à eff

eff, le 15 avr 2008 à 01:40:56

Second log oad pour ydcbcnmh.exe
____________________________________________________________________________________________

15/04/2008 ---- 1:39:46,07

----------------------------------
§§§§§§ [ydcbcnmh.exe ] §§§§§§
----------------------------------
[X] Registre

-------------- [ ] rapide
-- Fichier --- [ ] disque systeme
------------- [X] complete

********************
[Registre]
********************

Aucune entrée détectée

*******************
[Fichier]
*******************

*********************
[Même date]
*********************

Aucun fichier créé à la même date détecté

Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§
----------------------------------

__________________________________________________________________________________________

Répondre à eff

afideg, le 15 avr 2008 à 01:41:10

(suite)

Encore celui-ci ydcbcnmh.exe ==> OAD

Attends avant de lancer le CFSript ==> peut-être une modification en fonction de OAD

Merci

Patience-Vigilance-Amour.

Répondre à afideg

eff, le 15 avr 2008 à 01:44:38

Deja fait ce oad mais j'y vois rien non plus,je peux lancer cfs tu pense?

Répondre à eff

afideg, le 15 avr 2008 à 01:44:00

Voilà le CFScript2.txt

File::
C:\WINDOWS\system32\khwnerqr.exe
C:\WINDOWS\system32\ydcbcnmh.exe
C:\WINDOWS\SYSTEM32\ddcDsRJc.dll

Folder::
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\PC-Cleaner
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\TmpRecentIcons
C:\Documents and Settings\eff.EFF-CF77F548B73\Application Data\GlarySoft

Driver::
ddcDsRJc

Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddcDsRJc]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"mpfnjich"=-

Patience-Vigilance-Amour.

Répondre à afideg

92 réponses 12 3 4 Suivant

Posez votre question Répondre