Posez votre question Signaler

Infection Trojan.Win32.Patched.aa

milo - Dernière réponse le 20 juin 2008 à 18:18
Bonjour,
Mon PC est infecté par Trojan.Win32.Patched.aa qui me génère des alertes de F-Secure concernant Winlogon.exe. Le problème c'est que l'antivirus ne peut pas désinfecter le fichier et les différents utilitaires que j'ai utilisés non plus (adaware, spybot S&D, HijackThis, ComboFix ...).
Si quelqu'un connaît un moyen de régler ce problème, je suis preneur.
Merci d'avance & bonne fin de journée.
milo
Lire la suite 

Infection Trojan.Win32.Patched.aa »

64 réponses
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 18:39
Salut ,,

→ Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau.

→ Double clique sur ToolsCleaner2.exe >
→ Clique sur .Recherche
→ puis sur Suppression quand la liste est trouvée.
→ Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante :

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau

Tuto : http://www.commentcamarche.net/faq/sujet 8341 toolscleaner suppression des fix de force brute ( merci espion3004 )

**********************************************

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

→ Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

→ A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

→ Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

→ Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

→ MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

→ Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

→ MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

→ A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

→ Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

→ MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

→ Ferme MBAM en cliquant sur Quitter.

→ Poste le rapport dans ta réponse

A++

Ajouter un commentaire
milo - 31 mai 2008 à 18:50
Merci de répondre aussi rapidement !

Pour la première étape, voici le rapport après ToolsCleaner :

-->- Recherche:

C:\Combofix: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\PM\Dsfct\VirtumundoBeGone.exe: trouvé !
C:\PM\Dsfct\ComboFix.exe: trouvé !
C:\PM\Dsfct\vundoFix.exe: trouvé !
C:\PM\Dsfct\SmitFraudFix.exe: trouvé !
C:\PM\Dsfct\SmitFraudfix: trouvé !

---------------------------------
-->- Suppression:

C:\PM\Dsfct\VirtumundoBeGone.exe: supprimé !
C:\PM\Dsfct\ComboFix.exe: supprimé !
C:\PM\Dsfct\vundoFix.exe: supprimé !
C:\PM\Dsfct\SmitFraudFix.exe: supprimé !
C:\Combofix: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\PM\Dsfct\SmitFraudfix: supprimé !

J'ai également supprimé HijackThis que j'avais renommé.

C'est parti pour la suite ...

Encore merci, @ +
milo - 31 mai 2008 à 19:36
Comme demadé, voilà le rapport de Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 808

19:32:46 2008-05-31
mbam-log-5-31-2008 (19-32-46).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 93810
Temps écoulé: 34 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ugac (Rogue.PCSecureSystem) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\PM\Dsfct\backups\backup-20080522-110309-200.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-110918-674.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-111209-311.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-142742-547.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP224\A0064485.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbXQhICr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINLOGON.EXE.$DIS (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


Prêt pour la suite ...
milo - 31 mai 2008 à 19:49
Comme demadé, voilà le rapport de Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.14
Version de la base de données: 808

19:32:46 2008-05-31
mbam-log-5-31-2008 (19-32-46).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 93810
Temps écoulé: 34 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{700e2f50-dc4d-41de-84eb-193eabb2900d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{e959253d-2f5c-480c-b7d2-6bd8996a05b1} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ugac (Rogue.PCSecureSystem) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\pvnsmfor.bskf (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{9­7f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\PM\Dsfct\backups\backup-20080522-110309-200.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-110918-674.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-111209-311.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\PM\Dsfct\backups\backup-20080522-142742-547.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8402CBAA-D33C-483E-AED3-D25BECE3DA1B}\RP224\A0064485.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cbXQhICr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINLOGON.EXE.$DIS (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


Prêt pour la suite ...
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 19:55
Re ,

Pas besoin de poster en double.

**************************************************

Vide la quarantaine de Malwarebyte's Anti-Malware: Clique sur le raccourci de Malwarebytes' Anti-Malware , puis sur Quarantaine, sélectionne les divers éléments en cliquant sur Tout puis clique sur Supprime.


**************************************************

→ Télécharge TrendMicro™ HijackThis™



Place le dans ' C:\programmes\ ' Une fois cela fait , merci de renommer l'icône ( clique droit > renommer )' Hijackthis.exe 'située dans le dossier dans C:\ , en ' HJT.exe ' <<<<<<<<< Important !!! <<<<<<<

Le chemin d'accés du programme doit être ressemblant à celui-ci : C:\Programme\Trend Micro\Hijackthis\HJT.exe

Ne pas renommer l'icône du raccourci sur le bureau bien entendu ...

/!\ Ferme toute les fenêtres encore ouvertes , et déconnecte toi du web /!\

→ Puis lance-le et choisi l'option '' do a system scan and save a logfile '' et poste moi le rapport ( qui apparait sur le bloc-note )


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Tuto si tu n'y arrive pas : http://pageperso.aol.fr/balltrap34/demohijack.htm


A++

Ajouter un commentaire
milo - 31 mai 2008 à 20:53
Désolé pour le double post, je pensais éditer mais apparemment je peux pas ...

Voilà le rapport HJT comme demandé :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:49, on 2008-05-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PM\AdAware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Remote Services\AM.utEventServer.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Remote Services\WENGINE\wmonitor.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
C:\Program Files\Remote Services\AM.blScriptEngine.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PM\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
C:\Program Files\VERITAS\NetBackup\bin\tracker.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
O4 - Global Startup: L-Express.lnk = ?
O4 - Global Startup: NetBackup Client Job Tracker.lnk = ?
O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\PM\AdAware\aawservice.exe
O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe
O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe
O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe
O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe
O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.
http://www.msi-sa.com
contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 21:00
Re ,

Si tu n'es pas inscrit , tu ne peux pas éditer ;)))

****************************************************

→ Relance hijackthis , en menu principal choisis ' Do a system scan only' Et fixe ces/cette ligne(s) : ( coche la case à leurs gauches )

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: L-Express.lnk = ?
O4 - Global Startup: NetBackup Client Job Tracker.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll



Ferme toutes les fenêtres (hormis Hijackthis), y compris ton navigateur web.

→ clique sur ' fixchecked '


****************************************************

Je te conseille de désinstaller Ad-Aware 2007.

Lit ceci : http://forum.malekal.com/viewtopic.php?f=45&t=8046

**********************************************


1) Télécharge Ncleaner sur ton bureau , double clique sur le fichier d'installation et installe le logiciel.


2) Double clique sur l'icône crée sur le bureau et choisi ' cleansystem '

3) A gauche de l'écran , sous ' clean system and applications ' vérifie que seulement les 4 premières cases soit cochées , puis clique sur ' clean now ' > ' analyze '

--- Le programme va rechercher les fichier inutiles ---

Une fois l'analyse terminée , clique sur ' Clean ' et repond ' Yes ' a la demande de confirmation.

Cela terminé , clique sur ' Done '

4) Reprend l'étape 2 et choisi cette fois ci ' Registry clean and repair ' vérifie que toute les cases soient cochées et clique sur ' Clean now ' ( dans la colonne de droite cette fois-ci ) > ' Scan '

--- Le programme va rechercher les clées de registre invalides ---

Une fois le scan terminé , clique sur ' Remove ' et repond ' Yes ' a la demande de confirmation.

Cela terminé , clique sur ' Done '


**********************************************

Garde Ncleaner , tu t'en servira de temps en temps pour faire le ménage dans ton pc. ( par exemple toute les semaines ) .


****************************************************

→ Télécharge clean : http://www.malekal.com/download/clean.zip

→ Dézippe-le ( clique droit , extraire tout)

→ Lance clean.cmd ( ou clean ), Choisi l'option 1 et poste moi le rapport.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )

Note : Tu auras peut-être un message qui t'invitera a uploader un fichier , fait-le dès que tu pourras.


Tutorial : http://bibou0007.com/outils-specifiques-f78/tuto-clean-t1007.htm

****************************************************


a++



Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
milo 31 mai 2008 à 21:38
Voilà le rapport de Clean (ça me paraît un peu court mais vu mon expertise dans le domaine :) ) :

2008-05-31 a 21:29:01.33

*** Recherche C:

*** Recherche C:\WINDOWS\

*** Recherche C:\WINDOWS\system32

*** Recherche C:\Program Files
*** End of the report !


Merci pour l'info concernant AdAware 2007, du coup je l'ai désinstallé. La fiabilité des sources sur internet ...
Pour l'edit, j'aurais dû y penser, j'suis une tanche ! ;)

@+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 21:45
Re !
[ tour ]

Pour le rapport Clean , plus c'est court , mieux c'est !

Pour l'edit , c'est pas forcement évident de deviner ^^

Ps : Il est sympa ce poisson :)

bon on fait les MAJ maintenant. [ mises à jour ]

****************************************************

Met à jour IE -> http://www.microsoft.com/france/windows/downloads/ie/getitnow.mspx
En effet les version 6 et antérieures , sont bourrées de failles de sécurité , le version 7 les corrigent en partie.

****************************************************

Ta version d'Adobe n'est pas à jour , désinstalle ta version actuelle en passant par ' ajout et supréssion de programmes '

Puis télécharge la dernière , via ce site --> http://www.adobe.com/fr/products/acrobat/readstep2.html


Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

http://www.adobe.com/fr/support/security/bulletins/apsb07-01.html

****************************************************

Désinstalle ta version actuelle de JAVA via ,

Sous XP :

Ajout et suppression de programmes

Sous Vista:

Programmes et fonctionnalités

******************************

Puis met à jour JAVA --> http://www.java.com/fr/download/windows_manual.jsp?locale=fr&host=www.java.com:80 [ Version 6 update 6 ]

****************************************************

Reposte moi un rapport Hijackthis .

A+ +

Ajouter un commentaire
milo - 31 mai 2008 à 22:10
Et voilà le dernier rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:06, on 2008-05-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Remote Services\AM.utEventServer.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Remote Services\WENGINE\wmonitor.exe
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
C:\Program Files\Remote Services\AM.blScriptEngine.exe
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PM\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
C:\Program Files\Softissimo\Lexibase Pro\exe\L-Express.exe
C:\Program Files\VERITAS\NetBackup\bin\tracker.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Documentum\Shared\dcathmgr.exe
C:\Program Files\Documentum\Shared\dcevtsrv.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [getPlusUninstall_ocx] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\inf\GETPLUSo.INF, DefaultUninstall
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll
O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe
O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe
O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe
O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe
O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.
http://www.msi-sa.com
contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 22:14
Re !

Rapport Hijackthis > OK.

Cependant , tu me dis que les messages n'ont pas cessés ...

Tu peux supprimer ou mettre en quarantaine maintenant ?

A te lire.

++

Ps : Non je ne travaille pas dans l'informatique ;)))
Et pour apprendre il existe des sites [ entre autres ]

EDIT : IE n'a pas été mis à jour..

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
milo 31 mai 2008 à 22:32
Re,

Pour la màj d'IE il m'indique que l'installation ne prend pas en charge la langue de mon système d'exploitation :( ?

Pour F-Secure, il n'arrive ni à désinfecter, ni à renommer ni à effacer le fichier. Pour cette dernière option, le message indique que Winlogon est utilisé par un autre programme et qu'il faut le fermer puis réessayer. Si je me souviens à peu près, j'avais lu sur le site support de F-Secure que si la désinfection échouait il faudrait réinstaller une version propre de Winlogon à partir du CD de Windows, sauf que j'ai pas ce CD vu que c'est un PC pro ...

En tout cas merci pour ton aide jusqu'à présent.

@+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 22:35
Re !

Mouarff .

Tu peux utiliser Windows Update stp ?

( pour voir si tu peux installer des mises à jour )


Sinon pour F-secure , tu pourrais scanner et me poster le rapport ? [ si il en produit un ]

Tiens moi au courant.
A++

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
milo 31 mai 2008 à 23:12
Re (V.14.0),

Bon, pour Windows Update ça a marché et j'ai redémarré le PC et depuis plus de nouvelles de F-Secure ! Il m'a encore ouvert des message d'infection pendant la fermeture de windows mais depuis le redémarrage plus rien alors qu'avant rien qu'au démarrage d'IE j'y avais droit. Reste à voir si ça dure mais pour l'instant le pb semble résolu.

Je vais quand même lancer un scan de F-Secure mais j'arrive pas à faire la màj des bases (décidément y a toujours un truc qui foire !) et pour le rapport il devrai être édité d'ici demain (l'analyse est super longue). M'enfin, pour l'instant c'est bon alors encore merci pour tout, dis-moi s'il te faut d'autres infos pour savoir ce qu'il s'est passé, je verrai ce que je peux faire ;).

Heureusement qu'une partie de ceux qui s'y connaissent comme toi aident à régler les problèmes que certains s'amusent à créer :)

Bonne fin de journée (ou bonne nuit, au choix ;))

@++

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 31 mai 2008 à 23:20
Re !

Ok parfait :)

J'attends donc le rapport de F-secure.

Il restera des petites choses à faire.

Sinon je tenait à préciser que c'est agréable de désinfecter des personnes comme toi , qui n'écrivent pas en sms et qui parlent un peu . ( oui certains ne disent rien ... )
;)

Bonne soirée & à demain.

+++
++
+

Ajouter un commentaire
milo - 31 mai 2008 à 23:39
Re,

C'est normal, déjà tu consacre du temps aux autres alors c'est la moindre des choses et puis de toutes façons je suis pas de la générations SMS, quand j'y pense au début on avait qu'un tél fixe (et ouais, le portable était pas encore aussi répandu) avec cadran qui tourne ... Pourtant j'suis pas si vieux, encore en-dessous des 30, mais ça a changé vachement vite tout ça, un peu comme ceux à qui tout est dû, pas de bonjour, merci, au-revoir, t'es juste un moyen comme un autre de répondre aux questions ... sympa. De mon temps c'était pas comme ça ;))). Bon, le vieux va se coucher, bonne nuit.
Ah oui par contre, "désinfecter des personnes comme toi", je vais bien moi, j'ai pas de virus, mon dernier rapport de vérif était bon, pas d'infection ! ;))) Mais mon PC te dit merci !

Tchô!
milo - 1 juin 2008 à 14:52
Re !

Bon, F-Secure a fini l'analyse en m'indiquant qu'il a trouvé 2 fichiers infectés mais qu'il n'a pas pu les traiter. Evidemment cet #@*£$ ne m'a pas généré de nouveau rapport :(. J'ai juste eu le temps de voir qu'il s'agissait d'un "Downloader.???" et j'ai aussi des fenêtres internet de pub qui s'ouvrent ...

Je vais faire un tour de Spybot pour voir ce que ça donne.

@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 1 juin 2008 à 15:28
Re ,

Pubs ?

quel genre ?

a++

Ajouter un commentaire
milo - 2 juin 2008 à 09:00
Re !

J'ai assez régulièrement des fenêtres pour le site www.tchatche.com qui s'ouvrent quand je fais une action dans IE comme ouvrir un lien par ex.

F-Secure m'a donné deux alerte en temps réel pour Vundo.M et l'a supprimé, par contre Spybot n'a rien trouvé.

La lutte continue ... ;)

@+
Ajouter un commentaire
Réponse
+1
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 2 juin 2008 à 17:21
Re ,

A l'attaque.



*************************************************************

/!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne compétente /!\


_________________________________________________

1)Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

_________________________________________________


2)Télécharge ComboFix ici → http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Et enregistre le sur le bureau >>> /!\ IMPORTANT /!\

Regardes ici, si tu souhaites te familiariser avec son utilisation: http://bibou0007.com/tutos-f45/tutorial-combofix-t121.htm

AVANT d'utiliser ComboFix :
→ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
→ Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

3)Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

/!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)


_________________________________________________

4)Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

_________________________________________________

Tutorial ( aide ):

http://bibou0007.com/outils-specifiques-f78/tutorial-combofix-t121.htm

http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


*************************************************************


A++

Ajouter un commentaire
milo - 3 juin 2008 à 17:39
Re !

J'essaie tout ça ce soir mais comme je n'ai pas encore récupéré internet chez moi (quel FAI choisir ? grande question) je donnerai des nouvelles demain ... en espérant que tout se passe correctement (vu le tuto de ComboFix, ça devrait aller).

Bonne fin de journée et encore merci, on finira par les avoir, si c'est pas par la force ce sera à l'usure ;)

@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 3 juin 2008 à 18:08
Okii
A ce soir !

A++ ;)

Ajouter un commentaire
milo - 4 juin 2008 à 11:13
Re !

Voilà le rapport de ComboFix :

ComboFix 08-06-01.6 - milo 2008-06-03 20:43:41.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.582 [GMT 2:00]
Running from: C:\Documents and Settings\milo\Desktop\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\csnvfhtu.dll
C:\WINDOWS\system32\oepqnnod.dll
C:\WINDOWS\system32\ovqfwkuw.dll
C:\WINDOWS\system32\uthfvnsc.ini
C:\WINDOWS\system32\w32apiw.dll

----- BITS: Possible infected sites -----

hxxp://DFRROMADH01.ddom.ad.corp
.
((((((((((((((((((((((((( Files Created from 2008-05-03 to 2008-06-03 )))))))))))))))))))))))))))))))
.

2008-05-31 22:48 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-31 22:48 . 2007-07-30 19:18 20,312 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-31 22:03 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Program Files\NKProds
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Documents and Settings\milo\Application Data\nCleaner
2008-05-31 19:58 . 2008-05-31 19:58 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\milo\Application Data\Malwarebytes
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-28 16:33 . 2008-05-28 16:33 <DIR> d-------- C:\Program Files\IGC
2008-05-23 09:13 . 2008-05-23 09:13 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-23 08:43 . 2008-05-26 22:54 2,076 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-20 11:33 . 2008-05-20 07:43 294 --ahs---- C:\WINDOWS\system32\ymhbgwdv.ini
2008-05-19 14:05 . 2008-05-19 14:59 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-19 13:53 . 2008-05-19 13:53 1,342,724 ---hs---- C:\WINDOWS\system32\ymhbgwdv.tmp
2008-05-15 11:43 . 2008-05-15 11:43 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-05-14 18:14 . 1998-07-30 12:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
2008-05-14 18:10 . 2008-05-14 18:17 <DIR> d-------- C:\TEMP
2008-05-14 17:49 . 2008-05-14 17:49 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TuneUp Software
2008-05-14 17:49 . 2008-05-14 17:49 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-14 17:49 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-14 17:48 . 2008-05-14 17:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-05-14 14:44 . 2008-05-14 14:44 294 ---hs---- C:\WINDOWS\system32\utkudhnd.ini
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Documents and Settings\milo\IGC
2008-05-14 07:32 . 2008-05-14 07:32 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-14 07:32 . 2008-05-14 07:33 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-14 07:32 . 2008-05-14 07:32 264,097 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_9084.exe
2008-05-14 07:32 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-05-14 07:32 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-14 07:32 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-14 07:32 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-05-14 07:32 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-13 09:07 . 2008-05-31 21:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-13 09:06 . 2008-05-31 21:08 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-05-13 08:44 . 2008-05-23 16:18 828 --a------ C:\WINDOWS\wininit.ini
2008-05-13 07:46 . 2008-05-13 07:46 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TmpRecentIcons
2008-05-12 22:21 . 2008-05-20 14:23 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 22:16 . 2008-05-12 22:16 <DIR> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2008-05-12 22:16 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-12 22:16 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-12 22:09 . 2008-06-03 20:41 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-12 22:09 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-12 22:03 . 2008-05-12 22:03 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-07 22:22 . 2008-05-31 21:08 <DIR> d-------- C:\PM
2008-05-06 11:18 . 2008-05-06 11:18 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 12:09 --------- d-----w C:\Program Files\F-Secure
2008-05-31 20:45 505,856 ----a-w C:\WINDOWS\system32\WINLOGON.EXE
2008-05-31 20:03 --------- d-----w C:\Program Files\Java
2008-05-31 19:56 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-22 13:08 58,368 ------w C:\WINDOWS\system32\spoolsv.exe
2008-05-22 13:08 16,896 ------w C:\WINDOWS\system32\svchost.exe
2008-05-22 13:08 14,336 ------w C:\WINDOWS\system32\lsass.exe
2008-05-22 13:08 110,080 ------w C:\WINDOWS\system32\services.exe
2008-05-12 20:05 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-05-05 12:47 --------- d-----w C:\Documents and Settings\milo\Application Data\AdobeUM
2008-05-05 07:53 155,995 ----a-w C:\WINDOWS\java\Packages\ECZBJ13L.ZIP
2008-04-23 05:47 --------- d-----w C:\Documents and Settings\milo\Application Data\InterVideo
2008-03-26 08:09 151,583 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 08:20 219,936 ----a-w C:\WINDOWS\system32\msltus40.dll
2008-03-19 09:47 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
.

------- Sigcheck -------

2008-05-22 15:08 16896 9491c2135c30b82bb1a6acf928063a59 C:\WINDOWS\system32\svchost.exe

2008-05-31 22:45 505856 6bdf6b80f3c6c37bef59637fa8a652f2 C:\WINDOWS\system32\WINLOGON.EXE

2008-05-12 22:05 1034240 6b06b770badd3ba36da67304ff587ce2 C:\WINDOWS\explorer.exe

2008-05-22 15:08 110080 5cee7e9d377fa228c9e3a95e7d60e08e C:\WINDOWS\system32\services.exe

2008-05-22 15:08 14336 110fb3121c028e5aaedf3307223787cd C:\WINDOWS\system32\lsass.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurityBoxKernel"="C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe" [2005-11-21 23:17 364621]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 11:03 118832]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57 684032]
"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 15:12 88209 C:\WINDOWS\AGRSMMSG.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 12:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 12:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 12:10 94208]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
coedm-sessionwatcher.lnk - C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe [2007-07-24 07:34:51 231887]
Symantec NetBackup Desktop Agent.lnk - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe [2007-06-26 13:26:10 7091576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SBSCHED]
C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll 2004-01-30 05:08 24647 C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\GPOSecurityWorkstations\AddAdmins-ddom.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=\\ddom.ad.corp\SysVol\ddom.ad.corp\scripts\SMSInstall.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\bdom.ad.corp\netlogon\buc\logonpierrelatte.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]
"Script"=\\bdom.ad.corp\netlogon\buc\wuauserv.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
"WatchDog"=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2004-11-10 14:58]
R0 VSP;VERITAS Snapshot Provider;C:\WINDOWS\system32\drivers\vsp.sys [2002-11-04 11:02]
R2 AM.EventService;Access Manager Event Service;"C:\Program Files\Remote Services\AM.utEventServer.exe" [2006-06-29 13:10]
R2 AM.ScriptService;Access Manager Script Service;"C:\Program Files\Remote Services\AM.blScriptEngine.exe" [2006-06-29 13:10]
R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 02:50]
R2 DLOChangeJournalSvc;Backup Exec DLO Agent Change Journal Reader;"C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe" [2007-06-26 11:44]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 18:14]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2004-09-10 18:14]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]
R2 MCIMonitor;MCI Monitor Service;"C:\Program Files\Remote Services\WENGINE\wmonitor.exe" [2006-01-24 10:07]
R2 SBoxDisk;Security BOX® Disk Driver;C:\WINDOWS\system32\drivers\SBoxDisk.sys [2003-07-01 18:20]
R2 SBoxDiskSrv;Security BOX® Disk;"C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe" [2003-07-01 18:20]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-05-22 15:08]
R3 BW2NDIS5;BW2NDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [2004-11-02 17:33]
R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2004-09-30 22:42]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 15:26]
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 AM.InstallService;Access Manager Install Service;"C:\Program Files\Remote Services\AM.InstallService.exe" [2006-06-29 13:10]
S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 02:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 17:49]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C869BA1-A1E2-4818-8B12-F22A96DC7EAA}]
msiexec /fu {7C869BA1-A1E2-4818-8B12-F22A96DC7EAA} /qn

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
Contents of the 'Scheduled Tasks' folder
"2008-06-03 18:28:46 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\PM\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 20:45:21
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-03 20:46:10
ComboFix-quarantined-files.txt 2008-06-03 18:46:05

Pre-Run: 12,783,132,672 bytes free
Post-Run: 12,807,651,328 bytes free

199

Pour le moment plus de mauvaises surprises, pas de pop-up et autres actions anormales, à part un temps d'ouverture un peu long des fichiers en pièce jointe à partir d'Outlook mais rien de grave. Je vais voir si ça évolue au cours de la journée.

A suivre ...

@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 4 juin 2008 à 11:28
Re ,


Va sur ce site --> http://www.virustotal.com/fr/

Copie/colle cette ligne en gras dans le champs de saisie :


C:\WINDOWS\system32\wucltui.dll.mui


Clique sur ' Envoyer le fichier '

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

-> Poste le moi stp.

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )




A++

Ajouter un commentaire
milo - 4 juin 2008 à 17:23
Re

Voilà le rapport fourni par virustotal :


Fichier wucltui.dll.mui reçu le 2008.06.04 17:02:49 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/32 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.30.1 2008.06.04 -
AntiVir 7.8.0.26 2008.06.04 -
Authentium 5.1.0.4 2008.06.04 -
Avast 4.8.1195.0 2008.06.04 -
AVG 7.5.0.516 2008.06.04 -
BitDefender 7.2 2008.06.04 -
CAT-QuickHeal 9.50 2008.06.04 -
ClamAV 0.92.1 2008.06.04 -
DrWeb 4.44.0.09170 2008.06.04 -
eSafe 7.0.15.0 2008.06.04 -
eTrust-Vet 31.6.5847 2008.06.04 -
Ewido 4.0 2008.06.04 -
F-Prot 4.4.4.56 2008.06.04 -
F-Secure 6.70.13260.0 2008.06.04 -
Fortinet 3.14.0.0 2008.06.04 -
GData 2.0.7306.1023 2008.06.04 -
Ikarus T3.1.1.26.0 2008.06.04 -
Kaspersky 7.0.0.125 2008.06.04 -
McAfee 5309 2008.06.03 -
Microsoft 1.3604 2008.06.04 -
NOD32v2 3158 2008.06.04 -
Norman 5.80.02 2008.06.04 -
Panda 9.0.0.4 2008.06.04 -
Prevx1 V2 2008.06.04 -
Rising 20.47.22.00 2008.06.04 -
Sophos 4.30.0 2008.06.04 -
Sunbelt 3.0.1144.1 2008.06.04 -
Symantec 10 2008.06.04 -
TheHacker 6.2.92.333 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.04 -
Information additionnelle
File size: 34136 bytes
MD5...: 8c5bc4f077501e0baf72b849c572dff3
SHA1..: c479a6e9e6bc9881244c14886ebe8fbc9aa18a8b
SHA256: 229381374fa28138d4fcfb0769a21f6a5dc57a5c4478f475c03c04dc6a9c45b0
SHA512: cc1e2cee01e9520d4a0ca0497e71856dc923bb6e86a8a5eb69e08d783b3ad98f
f726a2ecdcac4701f7551e71ac35216dad3b82f10105fbbdafda35e7378a4829
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10000000
timedatestamp.....: 0x46ae8ef7 (Tue Jul 31 01:23:03 2007)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x4000 0x4000 3.91 4629a06852e04f1a14c7ade3ccd89760
.reloc 0x5000 0x8 0x1000 0.00 3808644f11ba1ee3cb2b6326fcd2e01a

( 0 imports )

( 0 exports )


Késako ? J'entrave rien à toutes ces infos :)

Petite question au cas où : j'ai désinstallé le prog de màj automatique de F-Secure et depuis même la màj manuelle ne fonctionne plus (c'est pas malin mais maintenant c'est fait alors ...). Le problème est que je n'arrive pas à récupérer un programme d'installation pour ce composant, t'aurais pas vu ça ailleurs par hasard ?

@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 4 juin 2008 à 17:40
Re ,

****************************************************


→ Télécharge Zeb-Restore

http://telechargement.zebulon.fr/zeb-restore.html

enregistre ce fichier sur le bureau.

→ Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
→ Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe
→ Coche la case devant :


_ Sites de confiance et sensibles


---Ne coche aucune autre case--

→ Clique sur Restaurer
→ Redémarre ton PC


****************************************************


/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note )

File::
C:\WINDOWS\system32\ymhbgwdv.ini
C:\WINDOWS\system32\ymhbgwdv.tmp
C:\WINDOWS\system32\utkudhnd.ini
C:\TEMP\
C:\Documents and Settings\All Users\Application Data\TEMP\

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]
"Script"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=-

DirLook::
C:\Documents and Settings\All Users\Application Data\SalesMon
C:\WINDOWS\system32\kr_done1de

Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

****************************************************

a++

Ajouter un commentaire
milo - 4 juin 2008 à 18:07
Re,

OK, comme hier, je fais ça ce soir et je te donnerai les résultats demain.

Ca va mouliner violent ce soir, on saura qui a gagné demain :)

Merci et bonne soirée

@+
milo - 5 juin 2008 à 09:31
Re,

Ca y est, c'est fait alors dans l'ordre le rapport ComboFix suivi de celui d'HJT :


Rapport ComboFix

ComboFix 08-06-01.6 - milo 2008-06-05 9:08:21.5 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1033.18.432 [GMT 2:00]
Running from: C:\Documents and Settings\milo\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\milo\Desktop\CFScript.txt
* Created a new restore point
* Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!/b/color

FILE ::
C:\Documents and Settings\All Users\Application Data\TEMP\
C:\TEMP\
C:\WINDOWS\system32\utkudhnd.ini
C:\WINDOWS\system32\ymhbgwdv.ini
C:\WINDOWS\system32\ymhbgwdv.tmp
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\utkudhnd.ini
C:\WINDOWS\system32\ymhbgwdv.ini
C:\WINDOWS\system32\ymhbgwdv.tmp

----- BITS: Possible infected sites -----

hxxp://DFRLYONSM01.ddom.ad.corp
.
((((((((((((((((((((((((( Files Created from 2008-05-05 to 2008-06-05 )))))))))))))))))))))))))))))))
.

2008-05-31 22:48 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-05-31 22:48 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-05-31 22:48 . 2007-07-30 19:18 20,312 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-05-31 22:03 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Program Files\NKProds
2008-05-31 21:26 . 2008-05-31 21:26 <DIR> d-------- C:\Documents and Settings\milo\Application Data\nCleaner
2008-05-31 19:58 . 2008-05-31 19:58 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\milo\Application Data\Malwarebytes
2008-05-31 18:55 . 2008-05-31 18:55 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-28 16:33 . 2008-05-28 16:33 <DIR> d-------- C:\Program Files\IGC
2008-05-23 09:13 . 2008-05-23 09:13 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-23 08:43 . 2008-05-26 22:54 2,076 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-19 14:05 . 2008-05-19 14:59 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-05-15 11:43 . 2008-05-15 11:43 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-05-15 10:47 . 2004-08-03 22:58 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-05-14 18:14 . 1998-07-30 12:51 305,152 --a------ C:\WINDOWS\IsUninst.exe
2008-05-14 18:10 . 2008-05-14 18:17 <DIR> d-------- C:\TEMP
2008-05-14 17:49 . 2008-05-14 17:49 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TuneUp Software
2008-05-14 17:49 . 2008-05-14 17:49 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-14 17:49 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-14 17:48 . 2008-05-14 17:48 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\TuneUp Software
2008-05-14 14:18 . 2008-05-14 14:19 <DIR> d-------- C:\Documents and Settings\milo\IGC
2008-05-14 07:32 . 2008-05-14 07:32 <DIR> d-------- C:\Program Files\PDFCreator Toolbar
2008-05-14 07:32 . 2008-05-14 07:33 <DIR> d-------- C:\Program Files\PDFCreator
2008-05-14 07:32 . 2008-05-14 07:32 264,097 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_9084.exe
2008-05-14 07:32 . 1998-07-13 02:08 141,312 --a------ C:\WINDOWS\system32\MSCMCFR.DLL
2008-05-14 07:32 . 1998-06-24 01:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX
2008-05-14 07:32 . 2001-10-28 17:42 116,224 --a------ C:\WINDOWS\system32\pdfcmnnt.dll
2008-05-14 07:32 . 1998-07-13 02:08 59,904 --a------ C:\WINDOWS\system32\MSCC2FR.DLL
2008-05-14 07:32 . 1998-07-06 01:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL
2008-05-13 09:07 . 2008-05-31 21:08 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-05-13 09:06 . 2008-05-31 21:08 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-05-13 08:44 . 2008-05-23 16:18 828 --a------ C:\WINDOWS\wininit.ini
2008-05-13 07:46 . 2008-05-13 07:46 <DIR> d-------- C:\Documents and Settings\milo\Application Data\TmpRecentIcons
2008-05-12 22:21 . 2008-05-20 14:23 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-12 22:16 . 2008-05-12 22:16 <DIR> dr------- C:\Documents and Settings\All Users\Application Data\SalesMon
2008-05-12 22:16 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-05-12 22:16 . 2001-03-08 18:30 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-05-12 22:09 . 2008-06-03 21:16 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-05-12 22:09 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-05-12 22:03 . 2008-05-12 22:03 1 --a------ C:\WINDOWS\system32\kr_done1de
2008-05-07 22:22 . 2008-05-31 21:08 <DIR> d-------- C:\PM
2008-05-06 11:18 . 2008-05-06 11:18 <DIR> dr-h----- C:\MSOCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-02 12:09 --------- d-----w C:\Program Files\F-Secure
2008-05-31 20:45 505,856 ----a-w C:\WINDOWS\system32\WINLOGON.EXE
2008-05-31 20:03 --------- d-----w C:\Program Files\Java
2008-05-31 19:56 --------- d-----w C:\Program Files\Common Files\Adobe
2008-05-22 13:08 58,368 ------w C:\WINDOWS\system32\spoolsv.exe
2008-05-22 13:08 16,896 ------w C:\WINDOWS\system32\svchost.exe
2008-05-22 13:08 14,336 ------w C:\WINDOWS\system32\lsass.exe
2008-05-22 13:08 110,080 ------w C:\WINDOWS\system32\services.exe
2008-05-12 20:05 1,034,240 ----a-w C:\WINDOWS\explorer.exe
2008-05-05 12:47 --------- d-----w C:\Documents and Settings\milo\Application Data\AdobeUM
2008-05-05 07:53 155,995 ----a-w C:\WINDOWS\java\Packages\ECZBJ13L.ZIP
2008-04-23 05:47 --------- d-----w C:\Documents and Settings\milo\Application Data\InterVideo
2008-03-26 08:09 151,583 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 08:20 219,936 ----a-w C:\WINDOWS\system32\msltus40.dll
2008-03-19 09:47 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Documents and Settings\All Users\Application Data\SalesMon ----


---- Directory of C:\WINDOWS\system32\kr_done1de ----

C:\WINDOWS\system32\kr_done1de\


------- Sigcheck -------

2008-05-22 15:08 16896 9491c2135c30b82bb1a6acf928063a59 C:\WINDOWS\system32\svchost.exe

2008-05-31 22:45 505856 6bdf6b80f3c6c37bef59637fa8a652f2 C:\WINDOWS\system32\WINLOGON.EXE

2008-05-12 22:05 1034240 6b06b770badd3ba36da67304ff587ce2 C:\WINDOWS\explorer.exe

2008-05-22 15:08 110080 5cee7e9d377fa228c9e3a95e7d60e08e C:\WINDOWS\system32\services.exe

2008-05-22 15:08 14336 110fb3121c028e5aaedf3307223787cd C:\WINDOWS\system32\lsass.exe
.
((((((((((((((((((((((((((((( snapshot@2008-06-03_20.45.58.58 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-03 18:28:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-05 06:58:47 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-05 07:09:38 16,384 ----atw C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\Perflib_Perfdata_1e4.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\PM\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SecurityBoxKernel"="C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe" [2005-11-21 23:17 364621]
"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.exe" [2004-09-09 11:03 118832]
"F-Secure TNB"="C:\Program Files\F-Secure\TNB\TNBUtil.exe" [2004-05-27 10:57 684032]
"AGRSMMSG"="AGRSMMSG.exe" [2005-11-16 15:12 88209 C:\WINDOWS\AGRSMMSG.exe]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2006-10-06 12:11 98304]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2006-10-06 12:13 114688]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2006-10-06 12:10 94208]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
coedm-sessionwatcher.lnk - C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe [2007-07-24 07:34:51 231887]
Symantec NetBackup Desktop Agent.lnk - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe [2007-06-26 13:26:10 7091576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SBSCHED]
C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll 2004-01-30 05:08 24647 C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\GPOSecurityWorkstations\AddAdmins-ddom.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\[u]0/u]
"Script"=\\ddom.ad.corp\SysVol\ddom.ad.corp\scripts\SMSInstall.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\bdom.ad.corp\netlogon\buc\logonpierrelatte.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1201654002-2523771428-1557942192-119212\Scripts\Logon\[u]0/u\1]
"Script"=\\bdom.ad.corp\netlogon\buc\wuauserv.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-31118\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logoff\[u]0/u\[u]0/u]
"Script"=CleanDocumentum.cmd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-371391377-3177841243-1650113322-5347\Scripts\Logon\[u]0/u\[u]0/u]
"Script"=\\ddom.ad.corp\SYSVOL\ddom.ad.corp\scripts\loginscript.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" /background
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime
"SunJavaUpdateSched"=C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
"WatchDog"=C:\Program Files\InterVideo\DVD Check\DVDCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2004-11-10 14:58]
R0 VSP;VERITAS Snapshot Provider;C:\WINDOWS\system32\drivers\vsp.sys [2002-11-04 11:02]
R2 AM.EventService;Access Manager Event Service;"C:\Program Files\Remote Services\AM.utEventServer.exe" [2006-06-29 13:10]
R2 AM.ScriptService;Access Manager Script Service;"C:\Program Files\Remote Services\AM.blScriptEngine.exe" [2006-06-29 13:10]
R2 CcmExec;SMS Agent Host;C:\WINDOWS\system32\CCM\CcmExec.exe [2006-02-09 02:50]
R2 DLOChangeJournalSvc;Backup Exec DLO Agent Change Journal Reader;"C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe" [2007-06-26 11:44]
R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 18:14]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2004-09-10 18:14]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 14:32]
R2 MCIMonitor;MCI Monitor Service;"C:\Program Files\Remote Services\WENGINE\wmonitor.exe" [2006-01-24 10:07]
R2 SBoxDisk;Security BOX® Disk Driver;C:\WINDOWS\system32\drivers\SBoxDisk.sys [2003-07-01 18:20]
R2 SBoxDiskSrv;Security BOX® Disk;"C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe" [2003-07-01 18:20]
R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2008-05-22 15:08]
R3 BW2NDIS5;BW2NDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BW2NDIS5.sys [2004-11-02 17:33]
R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2004-09-30 22:42]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2005-05-31 12:46]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-06-10 15:26]
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 AM.InstallService;Access Manager Install Service;"C:\Program Files\Remote Services\AM.InstallService.exe" [2006-06-29 13:10]
S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2004-09-30 22:43]
S3 prepdrvr;SMS Process Event Driver;C:\WINDOWS\system32\CCM\prepdrv.sys [2006-02-09 02:50]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-14 17:49]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7C869BA1-A1E2-4818-8B12-F22A96DC7EAA}]
msiexec /fu {7C869BA1-A1E2-4818-8B12-F22A96DC7EAA} /qn

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
Contents of the 'Scheduled Tasks' folder
"2008-06-05 07:00:00 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
- C:\PM\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 09:13:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-05 9:14:33
ComboFix-quarantined-files.txt 2008-06-05 07:14:28
ComboFix2.txt 2008-06-03 18:46:11

Pre-Run: 5,524,320,256 bytes free
Post-Run: 5,531,230,208 bytes free

216


Rapport HJT


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:22, on 2008-06-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Remote Services\AM.utEventServer.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Remote Services\WENGINE\wmonitor.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\Remote Services\AM.blScriptEngine.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\PM\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intranet.areva.corp/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://intranet.areva.corp/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy-np.areva.corp/proxy-arevanet-eu.pac
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PM\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SecurityBoxKernel] "C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PM\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: coedm-sessionwatcher.lnk = C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
O4 - Global Startup: Symantec NetBackup Desktop Agent.lnk = C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PM\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {40895335-0695-4FD9-84B8-7A5B76E7D905} (UDFCHECKINLib.DcCheckInComp) - file://C:\Documentum\Downloads\080071ee8018cc0d\080071ee8018cc0d.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O17 - HKLM\Software\..\Telephony: DomainName = ddom.ad.corp
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = ddom.ad.corp
O20 - Winlogon Notify: SBSCHED - C:\Program Files\MSI\Security Box\Kernel\sbxwl.dll
O23 - Service: Access Manager Event Service (AM.EventService) - MCI, Inc. - C:\Program Files\Remote Services\AM.utEventServer.exe
O23 - Service: Access Manager Install Service (AM.InstallService) - MCI, Inc. - C:\Program Files\Remote Services\AM.InstallService.exe
O23 - Service: Access Manager Script Service (AM.ScriptService) - MCI, Inc. - C:\Program Files\Remote Services\AM.blScriptEngine.exe
O23 - Service: Backup Exec DLO Agent Change Journal Reader (DLOChangeJournalSvc) - Symantec Corporation - C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
O23 - Service: Documentum Desktop Component Installer - Documentum, a division of EMC. - C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MCI Monitor Service (MCIMonitor) - Boingo Wireless, Inc. - C:\Program Files\Remote Services\WENGINE\wmonitor.exe
O23 - Service: Security BOX® Disk (SBoxDiskSrv) - Methode et Solution Informatique S.A.
http://www.msi-sa.com
contact@msi-sa.com - C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 5 juin 2008 à 16:52
Re ,

→ Télécharge Smitfraudfix sur ton bureau ,

→ Choisit l’option 1, il va générer un rapport > sauvegarde le.


Poste le rapport obtenu.

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Tutorial : http://siri.urz.free.fr/Fix/SmitfraudFix.php
a+

Ajouter un commentaire
milo - 5 juin 2008 à 17:08
Re,

Ca y est, c'est fait ! Rapport SmitfraudFix :


SmitFraudFix v2.323

Scan done at 17:02:04.13, 2008-06-05
Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Remote Services\AM.utEventServer.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Remote Services\WENGINE\wmonitor.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\Remote Services\AM.blScriptEngine.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\PM\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Documentum\Shared\dcevtsrv.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\milo\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\milo\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 191.3.1.52
DNS Server Search Order: 191.2.2.1
DNS Server Search Order: 191.2.2.2
DNS Server Search Order: 191.2.65.11
DNS Server Search Order: 191.1.128.172

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Comprends toujours rien à ce que ça indique mais bon, du moment que ça marche ...

@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 5 juin 2008 à 17:24
Re ,

Télécharge RHosts

-> Lance-le et choisi ' restaurer ' .



************************************************


→ Relance Smitfraudfix , choisi l'option 5 , il va générer un rapport > sauvegarde le.

→ Poste moi le rapport obtenu

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


A++

Ajouter un commentaire
milo - 5 juin 2008 à 17:43
Re,

Pour l'exécution de RHosts, c'est normal qu'après avoir cliqué sur "Restaurer" il n'y ait pas d'autre action visible et qu'il suffise juste de fermer le programme ?

Voilà le rapport SmitfraudFix après RHosts :


SmitFraudFix v2.323

Scan done at 17:38:52.27, 2008-06-05
Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» DNS Before Fix

Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 191.3.1.52
DNS Server Search Order: 191.2.2.1
DNS Server Search Order: 191.2.2.2
DNS Server Search Order: 191.2.65.11
DNS Server Search Order: 191.1.128.172

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249

»»»»»»»»»»»»»»»»»»»»»»»» DNS After Fix

Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 191.3.1.52
DNS Server Search Order: 191.2.2.1
DNS Server Search Order: 191.2.2.2
DNS Server Search Order: 191.2.65.11
DNS Server Search Order: 191.1.128.172

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249


Ready for next stage ... Same player shoot again :)


@+
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 5 juin 2008 à 17:58
Refais Smitfraudfix option1 stp.

a++

Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
milo 5 juin 2008 à 18:03
Re,


Wouala le rapport demandé :

SmitFraudFix v2.323

Scan done at 18:00:06.89, 2008-06-05
Run from C:\Documents and Settings\milo\Desktop\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Remote Services\AM.utEventServer.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOChangeLogSvcu.exe
C:\Program Files\Documentum\Shared\DcComponentInstaller.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\Remote Services\WENGINE\wmonitor.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MSI\Security Box\Disk\Sbdsrv.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\Remote Services\AM.blScriptEngine.exe
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\system32\CCM\CcmExec.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\MSI\Security Box\Kernel\SbKrnl.exe
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\PM\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\COEDM SessionWatcher\coedm-sessionwatcher.exe
C:\Program Files\Symantec\NetBackup DLO\DLO\DLOClientu.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Documentum\Shared\dcevtsrv.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\milo\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\milo\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\milo\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom NetXtreme Gigabit Ethernet - Packet Scheduler Miniport
DNS Server Search Order: 191.3.1.52
DNS Server Search Order: 191.2.2.1
DNS Server Search Order: 191.2.2.2
DNS Server Search Order: 191.2.65.11
DNS Server Search Order: 191.1.128.172

HKLM\SYSTEM\CCS\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\..\{98CE9C34-FF7D-4FB2-A4AC-0F4AAD4509E9}: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=191.3.1.52 191.2.2.1 191.2.2.2 191.2.65.11 191.1.128.172
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=191.2.2.1 191.2.2.2 191.1.129.200 191.2.1.253 191.2.1.249


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Ca à l'air d'en être un bon celui que mon PC a chopé !

@+

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
cyrildu17 6267Messages postés 28 septembre 2007Date d'inscription 5 juin 2008 à 18:13
Re ,

Télécharge L2MRemover.zip
http://www.simplytech.it/L2MRemover/L2MRemover.zip

Dézippe le.
Installe l'exécutable dans C:\Program Files\Look2meRemover\


1. Clique sur L2MRemover.exe pour lancer le programme.
2. Clique sur "About" > "Check for updates..." dans le menu du programme pour le mettre à jour.
3. Clique sur "Scan" et attendre que le scan complet soit fait
4. Clique sur le bouton "Delete Keys" pour nettoyer la base de registre.

(Si tu n'es pas sûr, tu peux cocher "Save before delete"
pour avoir une sauvegarde des clés supprimées; ceci créera un fichier reg)


Relance Combofix par la suite ( avec toute les précautions d'usages , ect )
> poste le rapport.
a++

Ajouter un commentaire
milo - 5 juin 2008 à 18:17
Re,

Faut que je décolle et pas d'internet le soir, je fais tout ça ce soir et donne des nouvelle demain.

Merci et bonne fin de journée

@+
Ajouter un commentaire
1 2 Suivant
Posez votre question
Ce document intitulé « Infection Trojan.Win32.Patched.aa » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
Infection Trojan.Win32.Patched.aa - page 2