behavioural.fileRésolu/Fermé

Question

Bonjour,
je commence a m'exercer a lire et a analyser des rapports hijack suite a l astuce de "green day" jusqu'a ce que moi aussi je prenne des trucs bizarres (behavioural.file.alert)mis en quarantaine avec viruskeeper
je joins le rapport sur lesquels je trouve 2/3 trucs bizarres mais je souhaiterais votre avis qui est beaucoup plus avisé...
evidemment je vous remercie d'avance
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:51:28, on 14/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_watchop.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\STEVY\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VirusKeeper antivirus/antispyware (vkservice) - AxBx - C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\vk_service.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

anthony5151 · Accepted Answer

Salut ;)


Alors, la ligne qui indique une infection dans ton rapport, c'est celle-ci (si tu veux des infos sur d'autres lignes, demande moi) : O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe

La preuve ici : https://www.systemlookup.com/Startup/8387-NAV_Update_exe.html
Ce site (systemlookup) recense des milliers de lignes comme celle-ci et donne des informations dessus. Ici, il montre que la ligne est infectieuse, mais c'est une infection indéterminée.


En cas de doute sur un fichier (est-il infecté ou non), ou en cas de doute sur le type d'infection, on peut faire envoyer le fichier à VirusTotal, qui va le faire analyser par 38 antivirus. Fais donc ceci stp :


• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\NAV_Update.exe
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

Utilisateur anonyme · Answer

personne ???

msn · Answer

Salut 
réinstalle HijackThis dans C:\Program Files et  remet un nouveau log

Utilisateur anonyme · Answer

slt
merci a toi 
voici le rapport :
Fichier NAV_Update.exe reçu le 2009.02.16 13:03:29 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 0/39 (0%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 55 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  
Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. 
 Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 4.0.0.93 2009.02.16 - 
AhnLab-V3 5.0.0.2 2009.02.16 - 
AntiVir 7.9.0.79 2009.02.16 - 
Authentium 5.1.0.4 2009.02.15 - 
Avast 4.8.1335.0 2009.02.16 - 
AVG 8.0.0.237 2009.02.16 - 
BitDefender 7.2 2009.02.16 - 
CAT-QuickHeal 10.00 2009.02.16 - 
ClamAV 0.94.1 2009.02.16 - 
Comodo 978 2009.02.15 - 
DrWeb 4.44.0.09170 2009.02.16 - 
eSafe 7.0.17.0 2009.02.15 - 
eTrust-Vet 31.6.6358 2009.02.16 - 
F-Prot 4.4.4.56 2009.02.15 - 
F-Secure 8.0.14470.0 2009.02.16 - 
Fortinet 3.117.0.0 2009.02.16 - 
GData 19 2009.02.16 - 
Ikarus T3.1.1.45.0 2009.02.16 - 
K7AntiVirus 7.10.630 2009.02.14 - 
Kaspersky 7.0.0.125 2009.02.16 - 
McAfee 5527 2009.02.15 - 
McAfee+Artemis 5527 2009.02.15 - 
Microsoft 1.4306 2009.02.16 - 
NOD32 3856 2009.02.16 - 
Norman 6.00.02 2009.02.13 - 
nProtect 2009.1.8.0 2009.02.16 - 
Panda 10.0.0.10 2009.02.15 - 
PCTools 4.4.2.0 2009.02.16 - 
Prevx1 V2 2009.02.16 - 
Rising 21.17.02.00 2009.02.16 - 
SecureWeb-Gateway 6.7.6 2009.02.16 - 
Sophos 4.38.0 2009.02.16 - 
Sunbelt 3.2.1851.2 2009.02.12 - 
Symantec 10 2009.02.16 - 
TheHacker 6.3.2.2.258 2009.02.16 - 
TrendMicro 8.700.0.1004 2009.02.16 - 
VBA32 3.12.8.12 2009.02.16 - 
ViRobot 2009.2.16.1609 2009.02.16 - 
VirusBuster 4.5.11.0 2009.02.15 - 
Information additionnelle 
File size: 32768 bytes 
MD5...: 106313c27d9bd2306bc2b4ceff78a8b0 
SHA1..: d242eb364bd5febd2dd8f6d454663292df866c69 
SHA256: cf01efe1a56eda0f28967a269a89e20a7ab516421624739b7691fdb6ecdbf37c 
SHA512: ba119a7b03d5c54fbae192bbc668f4927b0027a0f523af5aec01550b1d967766
da70036620d3f8178709be8c3861a3df0642c108a2d9e1012854e90cadccbed9
 
ssdeep: 768:RwimvUUJUcTSOJAnfM5jGGqzddk7OJn+oxV1NfERI9Yi:eNvDUc2O6nfG7OR
1N69i
 
PEiD..: - 
TrID..: File type identification
Win32 Executable Microsoft Visual Basic 6 (90.9%)
Win32 Executable Generic (6.1%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1400
timedatestamp.....: 0x3e705f6f (Thu Mar 13 10:37:35 2003)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4c8c 0x5000 5.15 07ba7680aa624b055aaa7ad7c2a218d1
.data 0x6000 0xb28 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x7ec 0x1000 1.76 7c2e488ef35430ee56576575264c1fc6

( 1 imports ) 
> MSVBVM60.DLL: __vbaVarSub, _CIcos, _adj_fptan, __vbaVarMove, __vbaVarVargNofree, __vbaFreeVar, __vbaStrVarMove, __vbaLenBstr, __vbaEnd, __vbaFreeVarList, __vbaVarIdiv, _adj_fdiv_m64, __vbaNextEachVar, __vbaFreeObjList, _adj_fprem1, -, __vbaResume, __vbaStrCat, __vbaError, __vbaSetSystemError, __vbaHresultCheckObj, __vbaLenVar, _adj_fdiv_m32, __vbaExitProc, __vbaObjSet, __vbaOnError, _adj_fdiv_m16i, _adj_fdivr_m16i, -, __vbaVargVar, _CIsin, __vbaVargVarMove, __vbaChkstk, __vbaFileClose, EVENT_SINK_AddRef, __vbaStrCmp, __vbaObjVar, DllFunctionCall, _adj_fpatan, __vbaR4Var, EVENT_SINK_Release, -, _CIsqrt, EVENT_SINK_QueryInterface, __vbaExceptHandler, __vbaPrintFile, __vbaInputFile, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, -, -, __vbaFPException, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaNew2, __vbaVarInt, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, __vbaVarTstNe, __vbaVarSetVar, __vbaI4Var, __vbaLateMemCall, __vbaVarAdd, __vbaVarDup, __vbaStrToAnsi, __vbaVarCopy, __vbaVarLateMemCallLd, -, -, _CIatan, __vbaStrMove, __vbaForEachVar, _allmul, _CItan, __vbaAryUnlock, _CIexp, __vbaFreeStr, __vbaFreeObj

( 0 exports )

Utilisateur anonyme · Answer

j'en ai profité pour analyser les lignes qui ne me plaisaient pas les voici
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
et ca donne ca : apparement en X j'attends ton avis
https://www.systemlookup.com/search.php?list=&type=filename&search=O4+-+HKCU%5C..%5CRun%3A+%5BCTFMON.EXE%5D+C%3A%5CWINDOWS%5Csystem32%5Cctfmon.exe&s=
puis
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') 
https://www.systemlookup.com/search.php?list=&type=filename&search=O4+-+HKUS%5CS-1-5-19%5C..%5CRun%3A+%5BCTFMON.EXE%5D+C%3A%5CWINDOWS%5CSystem32%5CCTFMON.EXE+%28User+%27SERVICE+LOCAL%27%29+&s=
puis...
en fait apparement les 3 autres qui comporte ctfmon...
qu'en penses tu ?
merci

anthony5151 · Answer

Re,


cftmon.exe est un processus générique de Windows, il est tout à fait normal : plus d'infos ici


• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen" 
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes

• Poste le rapport de scan après la suppression ici

Utilisateur anonyme · Answer

slt 
voici le rapport
ca va vite j'ai fais un scan complet il ya 1 semaine et RAS
et la 2 infections !
merci encore

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3

17/02/2009 11:49:12
mbam-log-2009-02-17 (11-49-12).txt

Type de recherche: Examen rapide
Eléments examinés: 74624
Temps écoulé: 5 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7aa32fc7-133b-4ae7-998e-ced0d9829b12} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{57be2636-f271-4151-9d4a-40a2663e4fd7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

juste pour l'explication
pourquoi ces lignes n'apparaissent pas dans le rapport hijack, ca n'analyse les cles de registre ?
sinon pourquoi certains lancent directement RSIT au lieu d'hijack, le log est mieux ou c'est par critere de preference ?

anthony5151 · Answer

Oui RSIT inclue un rapport hijackthis, mais il donne d'autres infos en plus (liste des tâches planifiées de Windows, des fichiers créés récemment, des modifs du Registre, des services autres que ceux de Windows)

Pour le moment, hijackthis a montré une infection, on va déjà s'en occuper avant d'utiliser RSIT pour vérifier qu'il n'y a rien d'autre.



• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer. 
• Clique sur ce lien, fais un copié/collé de son contenu dans le cadre « Paste Instructions for Items to be Moved » et clique sur "Moveit" :  https://www.cjoint.com/?ctooPKyipw

• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 

• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

je te fais ca des ce soir , j suis au taf (bah oui mais pas trop debordé!!!)
concernant l'infection, j'ai elimine 2 trojan avec mbam, hors j'avais 1 infection sur le rapport hijack, comment puis je me retrouver avec 2 le lendemain?
et si l'infection est toujours presente, j'ai enlevé quoi du coup ?
merci encore pour le tps que tu m'accorde, j'y prends du plaisir a etudier (en dehors du fait que mon pc est infecté....)
@+

anthony5151 · Answer

Re,


Bon, OTMoveIt n'a pas trouvé le fichier et la clé de Registre infectés qui étaient visibles dans le rapport hijackthis.

Ils font peut-être partie de ce qui a été supprimé par Antivir ?
Est-ce que tu pourrais retrouver le rapport du scan et me le poster stp ?  Pour ça, fais un double-clic sur l'icone d'Antivir près de l'horloge (le parapluie rouge), rends toi dans "Rapports", retrouve ton scan, double-clique dessus et clique sur Rapport.


Poste également un nouveau rapport hijackthis stp

Utilisateur anonyme · Answer

slt anthony
voici le rapport de antivir
je suis sans doute idito mais je n'ai pas trouvé la facon de supprimer les fichiers malveillants !
un ptit coup de main ?
et a la suite tu trouveras le raport hijack
ps je suis alleé sur le site que tu m'as conseillé : malekal, on y trouve d'excellentes infos lire un rapport comment se proteger...ce site est tres instructif merci


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 17 février 2009  21:38

La recherche porte sur 1251469 souches de virus.

Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme :      Windows XP
Version de Windows :(Service Pack 3)  [5.1.2600]
Mode Boot :       Démarré normalement
Identifiant :     SYSTEM
Nom de l'ordinateur :STEVE

Informations de version :
BUILD.DAT     : 8.2.0.52       16931 Bytes  02/12/2008 14:55:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18/11/2008 08:21:00
AVSCAN.DLL    : 8.1.4.1        49921 Bytes  21/07/2008 13:44:27
LUKE.DLL      : 8.1.4.5       164097 Bytes  12/06/2008 12:44:16
LUKERES.DLL   : 8.1.4.0        13057 Bytes  04/07/2008 07:30:27
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11/02/2009 18:27:15
ANTIVIR2.VDF  : 7.1.2.13        2048 Bytes  11/02/2009 18:27:15
ANTIVIR3.VDF  : 7.1.2.38      154624 Bytes  17/02/2009 18:27:17
Version du moteur: 8.2.0.83  
AEVDF.DLL     : 8.1.1.0       106868 Bytes  17/02/2009 18:27:36
AESCRIPT.DLL  : 8.1.1.47      348539 Bytes  17/02/2009 18:27:34
AESCN.DLL     : 8.1.1.7       127347 Bytes  17/02/2009 18:27:33
AERDL.DLL     : 8.1.1.3       438645 Bytes  04/11/2008 13:58:38
AEPACK.DLL    : 8.1.3.8       397684 Bytes  17/02/2009 18:27:32
AEOFFICE.DLL  : 8.1.0.33      196987 Bytes  17/02/2009 18:27:28
AEHEUR.DLL    : 8.1.0.94     1606006 Bytes  17/02/2009 18:27:27
AEHELP.DLL    : 8.1.2.0       119159 Bytes  17/02/2009 18:27:21
AEGEN.DLL     : 8.1.1.17      332148 Bytes  17/02/2009 18:27:20
AEEMU.DLL     : 8.1.0.9       393588 Bytes  14/10/2008 10:05:56
AECORE.DLL    : 8.1.6.6       176501 Bytes  17/02/2009 18:27:18
AEBB.DLL      : 8.1.0.3        53618 Bytes  14/10/2008 10:05:56
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09/07/2008 08:40:02
AVPREF.DLL    : 8.0.2.0        38657 Bytes  16/05/2008 09:27:58
AVREP.DLL     : 8.0.0.2        98344 Bytes  31/07/2008 12:02:15
AVREG.DLL     : 8.0.0.1        33537 Bytes  09/05/2008 11:26:37
AVARKT.DLL    : 1.0.0.23      307457 Bytes  12/02/2008 08:29:19
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12/06/2008 12:27:46
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22/01/2008 17:28:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12/06/2008 12:49:36
NETNT.DLL     : 8.0.0.1         7937 Bytes  25/01/2008 12:05:07
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  04/07/2008 07:23:16
RCTEXT.DLL    : 8.0.52.1       86273 Bytes  17/07/2008 10:08:43

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

Début de la recherche : mardi 17 février 2009  21:38

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TaskBarIcon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVCOMSX.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'fxssvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wanmpsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'slserv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LEXPPS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LEXBCES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'30' processus ont été contrôlés avec '30' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '59' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <53_03_40>
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\crtdcghcn.jar-1cefd379-6d243894.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
      [RESULTAT]  Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0f2208.qua' !
C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\ms-counter.jar-713f0c9a-6e964707.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
      [RESULTAT]  Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c82210.qua' !
C:\Documents and Settings\STEVY\.jpi_cache\jar\1.0\ms-counter.jar-7be50d8f-1496ac87.zip
    [0] Type d'archive: ZIP
    --> BaaaaBaa.class
      [RESULTAT]  Contient le cheval de Troie TR/Java.Downloader.Gen
    --> VaaaaaaaBaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    --> Dvnny.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.2
    --> Baaaaa.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/Exploit.By.A.1
    --> Dex.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GC
    --> Dix.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GD
    --> Dux.class
      [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.GE
    [RESULTAT]  Contient le modèle de détection du virus Java JAVA/ClassLoader.FA
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49c82213.qua' !
C:\Program Files\PurityScan\OINSetup.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e92548.qua' !
C:\Program Files\PurityScan\PuritySCANUninstall.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/PurityScan.BU.17
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0d2578.qua' !
C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390440.exe
    [RESULTAT]  Contient le cheval de Troie TR/Downloader.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ce2699.qua' !
C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390441.exe
    [RESULTAT]  Contient le modèle de détection du dropper DR/PurityScan.BU.17
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49ce269c.qua' !
C:\WINDOWS\ccGetMgr.exe
    [RESULTAT]  Contient le modèle de détection du ver WORM/Stration.Gen
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e226da.qua' !
C:\WINDOWS\Downloaded Program Files\gdownloader.ocx
    [RESULTAT]  Contient le cheval de Troie TR/Dldr.VB.MK.2
    [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a0a28ad.qua' !


Fin de la recherche : mardi 17 février 2009  22:27
Temps nécessaire: 49:43 Minute(s)

La recherche a été effectuée intégralement

   4987 Les répertoires ont été contrôlés
 197097 Des fichiers ont été contrôlés
      9 Des virus ou programmes indésirables ont été trouvés
     21 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      9 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 197065 Fichiers non infectés
   6470 Les archives ont été contrôlées
      2 Avertissements
      9 Consignes

ET VOICI LE RAPPORT HIJACK


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:55, on 18/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/9.20.0002/OCI/setup.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (Media Bar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Utilisateur anonyme · Answer

c'est encore moi
apres analyse 
cette ligne me gene qu'en penses tu ?
O16 - DPF: {4FA3D392-9349-4D85-8FB9-18733534CFE3} (SpyBouncer.SBDownloader) - http://www.spybouncer.com/downloader/gdownloader.ocx 
la preuve ici:
https://www.systemlookup.com/O16/1362-gdownloader_ocx.html

et celle la (celle la c'est sur)

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Object) - https://crazyvegas.microgaming.com/crazyvegas/FlashAX2.cab 

merci a toi
ps (t'es insomniaque ???lol)

anthony5151 · Answer

Il faut configurer Antivir pour activer la recherche de rootkit (ça pourra servir dans le futur) : double clique sur l'icone d'Antivir près de l'horloge &#8594; configuration &#8594; coche "Mode expert" &#8594; coche "Rech rootkits au dem de la recherche" &#8594; clique sur OK

Sinon, pour info, ces deux avertissements sont normaux, tu les auras à chaque fois (ça signifie juste qu'Antivir ne peut pas analyser ces deux fichiers) :
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier ! 



Je vois que tu maitrises déjà SystemLookUp ;)
Effectivement, cette ligne correspond à l'activeX qui a été utilisé pour installer un rogue (faux-logiciel de sécurité)

Les lignes 016 sont une exception par rapport au reste : il suffit de les fixer avec hijackthis. Pour ça relance hijackthis, choisis "do a system scan only", coche toutes les lignes en 016 (ça ne sert généralement qu'une fois, autant les supprimer après utilisation) et clique sur "Fix Checked".


A part ça, il n'y a plus rien de néfaste qui apparait sur ce rapport. On va faire une analyse plus approfondie si tu le veux bien :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

Utilisateur anonyme · Answer

slt anthony
antivir parametré...
toutes les lignes 16 fixees...
ps a quoi servent les lignes 23 j'ai pas trouvé trop d'infos sur celles la ? (ex : america online ?? m'enfous!)si c'est des lignes services qui ne servent a rien puis je fixer aussi chef !
system lookup c'est grace a toi...
ainsi que virustotal
ainsi....
ah vivement la suite !!!

On va faire une analyse plus approfondie si tu le veux bien : 

t'es inconscient de me dire ca a moi biensur que je demande que ca..................

bon sinon voici le rapport RSIT : (et merci encore)

Logfile of random's system information tool 1.05 (written by random/random)
Run by STEVY at 2009-02-19 11:44:25
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 79 GB (52%) free of 153 GB
Total RAM: 191 MB (33% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:44:49, on 19/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Documents and Settings\STEVY\Bureau\RSIT.exe
C:\Program Files\STEVY.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Utilisateur anonyme · Answer

c'est encore moi 

j'ai trouvé peu d'infos sur cette ligne 

certains resultats sur google la trouvent  nephaste

et j'ai trouvé aussi via malekal un site sur lequel on peut poster son rapport hijack et il est analysé tout de suite 
voici le lien au cas ou tu connaitrais pas (surprenant mais bon au cas ou !)
http://www.hijackthis.de/fr#anl

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)  
Sûr 
Inscription superflue (car sans effet) qui peut donc être effacée ! Cet élément a été classé comme bonne par nos visiteurs. 

puis je fixé et comment supprimer au cas ou ?
j'attends tes reponses avec impatience

Utilisateur anonyme · Answer

si ca peut orienter aussi nos recherches ,j'ai eu un message 
d'antivir 1/2 h apres avoir fixé toutes les 016 
msn deconnecté et je naviguais pas, le voici :

Dans le fichier 'C:\System Volume Information\_restore{AC00AEFC-EE91-45FF-B33E-16AF7624F610}\RP771\A0390442.exe'
un virus ou un programme indésirable 'WORM/Stration.Gen' [worm] a été détecté.

Action exécutée : Refuser l'accès 

@+

anthony5151 · Answer

"t'es inconscient de me dire ca a moi biensur que je demande que ca"

lol, c'est vrai, quelle question ^^


J'ai vu une ligne qui semble néfaste et deux autres qui sont suspectes dans ce rapport. On va vérifier avec VirusTotal, que tu connais bien maintenant ;)

Analyse ces deux fichiers stp, et poste les rapports :
C:\WINDOWS\System32\Drivers\dvc120.sys
C:\Documents and Settings\STEVY\Application Data\inst.exe



Sinon, pour répondre à tes questions :


System Volume Information\_restore indique des sauvegardes de la restauration du système. Ca ne représente pas un danger du moment que tu ne fais pas de restauration. On la purgera à la fin de la désinfection (il faut toujours le faire).

Et au passage, quand Antivir détecte quelque chose, je te conseille de choisir directement la mise en quarantaine, sauf si tu penses qu'il s'agit d'une fausse alerte (ce qui peut arriver), dans ce cas il faut vérifier.



Le robot qui analyse les rapports sur hijackthis.de n'est plus mis à jour il me semble, en tout cas je suis sûr qu'il n'est pas fiable du tout (il signale régulièrement des lignes infectées comme normales, et inversement...)

Les lignes indiquant "no file" (pas no name, attention à ne pas confondre) indiquent que le fichier correspondant a été supprimé, tu peux donc les fixer sans soucis.
Par contre, les lignes 023 indiquent des services, et à moins qu'ils soient infectieux ou qu'il y ait indiqué "File missing", il ne faut pas les fixer.

Utilisateur anonyme · Answer

slt
c'est toujours un plaisir de lire tes infos ...
quel dommage que l'on arrive pas a faire tout ca en "direct" ...
voici les rapports de virus total :
et surtout merci encore

Fichier dvc120.sys reçu le 2009.02.20 08:53:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/39 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 55 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.20 -
AhnLab-V3 2009.2.20.1 2009.02.20 -
AntiVir 7.9.0.85 2009.02.20 -
Authentium 5.1.0.4 2009.02.20 -
Avast 4.8.1335.0 2009.02.19 -
AVG 8.0.0.237 2009.02.19 -
BitDefender 7.2 2009.02.20 -
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.20 -
Comodo 983 2009.02.19 -
DrWeb 4.44.0.09170 2009.02.20 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6366 2009.02.20 -
F-Prot 4.4.4.56 2009.02.19 -
F-Secure 8.0.14470.0 2009.02.20 -
Fortinet 3.117.0.0 2009.02.20 -
GData 19 2009.02.20 -
Ikarus T3.1.1.45.0 2009.02.20 -
K7AntiVirus 7.10.637 2009.02.19 -
Kaspersky 7.0.0.125 2009.02.20 -
McAfee 5530 2009.02.19 -
McAfee+Artemis 5530 2009.02.19 -
Microsoft 1.4306 2009.02.20 -
NOD32 3869 2009.02.19 -
Norman 6.00.06 2009.02.19 -
nProtect 2009.1.8.0 2009.02.20 -
Panda 10.0.0.10 2009.02.20 -
PCTools 4.4.2.0 2009.02.19 -
Prevx1 V2 2009.02.20 -
Rising 21.17.41.00 2009.02.20 -
SecureWeb-Gateway 6.7.6 2009.02.20 -
Sophos 4.38.0 2009.02.20 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.20 -
TheHacker 6.3.2.3.261 2009.02.20 -
TrendMicro 8.700.0.1004 2009.02.20 -
VBA32 3.12.10.0 2009.02.20 -
ViRobot 2009.2.20.1616 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.19 -
Information additionnelle
File size: 31893 bytes
MD5...: a41973d801131c251ff4cdc6b944d1c5
SHA1..: abece8fa2520cc663bc38a5765e31484ca2de949
SHA256: 7f642ac5e005a17bab05fd5c572f5654b5503d8d6485f91471f521ba639267b0
SHA512: 330d96041f4598739f92568aa7ae5f0392edf371c33049fc0b9647df4a978f58
12f2827cc3ae5e6522a9963b424d9ece95f65ab6124f009629f5cf21c76f7637
ssdeep: 768:PpiFUMiI0m+xR5c2TFme+XLEXxTjRFZeXfZZ4n3gl+y:hiFom+xo2BBT2an3
E

PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x102c0
timedatestamp.....: 0x406493a3 (Fri Mar 26 20:33:39 2004)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2c0 0x22b6 0x22c0 6.51 bd52adcc3af91c8352c157deca0221fd
.rdata 0x2580 0xe4 0x100 2.66 570b3c2b2c9fa53e16b3583fac8dfa4e
.data 0x2680 0x47d4 0x47e0 5.74 f42c4e65177a707808bc8a46a14bfd4b
INIT 0x6e60 0x3ca 0x3e0 4.88 6367c439fb6e24878e40123dae2db8b8
.rsrc 0x7240 0x388 0x3a0 3.15 5320943ba9de5ee54c7aa06d9d8d1942
.reloc 0x75e0 0x1e2 0x200 4.87 2b3b89e9bf71d9f1ca4690452e1a9396

( 3 imports )
> NTOSKRNL.EXE: KeInitializeEvent, IofCompleteRequest, PoCallDriver, PoStartNextPowerIrp, ExFreePool, ExAllocatePoolWithTag, IoDeleteDevice, IoDetachDevice, IoDeleteSymbolicLink, RtlInitUnicodeString, IoAttachDeviceToDeviceStack, IoCreateSymbolicLink, KeWaitForSingleObject, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, IoBuildDeviceIoControlRequest, MmMapLockedPagesSpecifyCache, sprintf, InterlockedDecrement, InterlockedIncrement, IoFreeIrp, IoInitializeIrp, IoAllocateIrp, KeInitializeSpinLock, KeSetEvent, IoCreateDevice, IofCallDriver
> HAL.DLL: KfReleaseSpinLock, KfAcquireSpinLock
> USBD.SYS: _USBD_ParseConfigurationDescriptorEx@28, USBD_GetUSBDIVersion, _USBD_CreateConfigurationRequestEx@8

( 0 exports )
------------------------------------------------------------------------------------------------------------------------------------------------------
Fichier inst.exe reçu le 2009.02.20 09:02:08 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE

Résultat: 0/37 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 38 et 55 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.93 2009.02.20 -
AhnLab-V3 2009.2.20.1 2009.02.20 -
AntiVir 7.9.0.85 2009.02.20 -
Authentium 5.1.0.4 2009.02.20 -
Avast 4.8.1335.0 2009.02.19 -
AVG 8.0.0.237 2009.02.19 -
CAT-QuickHeal 10.00 2009.02.20 -
ClamAV 0.94.1 2009.02.20 -
Comodo 983 2009.02.19 -
DrWeb 4.44.0.09170 2009.02.20 -
eSafe 7.0.17.0 2009.02.19 -
eTrust-Vet 31.6.6366 2009.02.20 -
F-Prot 4.4.4.56 2009.02.19 -
F-Secure 8.0.14470.0 2009.02.20 -
Fortinet 3.117.0.0 2009.02.20 -
GData 19 2009.02.20 -
Ikarus T3.1.1.45.0 2009.02.20 -
K7AntiVirus 7.10.637 2009.02.19 -
Kaspersky 7.0.0.125 2009.02.20 -
McAfee 5530 2009.02.19 -
McAfee+Artemis 5530 2009.02.19 -
Microsoft 1.4306 2009.02.20 -
NOD32 3869 2009.02.19 -
Norman 6.00.06 2009.02.19 -
nProtect 2009.1.8.0 2009.02.20 -
Panda 10.0.0.10 2009.02.20 -
PCTools 4.4.2.0 2009.02.19 -
Prevx1 V2 2009.02.20 -
Rising 21.17.41.00 2009.02.20 -
SecureWeb-Gateway 6.7.6 2009.02.20 -
Sophos 4.38.0 2009.02.20 -
Sunbelt 3.2.1855.2 2009.02.17 -
Symantec 10 2009.02.20 -
TheHacker 6.3.2.3.261 2009.02.20 -
TrendMicro 8.700.0.1004 2009.02.20 -
ViRobot 2009.2.20.1616 2009.02.20 -
VirusBuster 4.5.11.0 2009.02.19 -
Information additionnelle
File size: 87608 bytes
MD5...: 254fbca565e049648b0cce2ceadf05d2
SHA1..: f5c6d09fcd7df2f8efd51c2bcf7ef0702686071c
SHA256: c74d2fa6374b5f1e251e3205de0efe99ed026b8b7a0ad5ee549ee3700f8e63d7
SHA512: 9f587078ac71165f4b862f59ffa9279c92d3c84c19080b9f71d3c3a54964a5e0
a8a55d160f7fee7d505ccb41afea9f8720a475de2de50219037a435ccbc55709
ssdeep: 1536:ViNQm/DgTATpxgaNPsJ9fCSFXmVH1E37QgEAQttxg:AQwzrJPiFoKEgEAQt
c

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402277
timedatestamp.....: 0x44a114a2 (Tue Jun 27 11:21:06 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc1d4 0xd000 6.39 8b23740868f02bb731a1556e3e89ec4b
.rdata 0xe000 0x25c2 0x3000 4.48 1c4aa9b67a1e4fb62d587545d74e9148
.data 0x11000 0x2e48 0x2000 1.28 e79d5ce42e7132af5b6039889e4670ab
.rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146

( 6 imports )
> newdev.dll: UpdateDriverForPlugAndPlayDevicesW
> SETUPAPI.dll: SetupDiRemoveDevice, SetupDiCallClassInstaller, SetupDiSetDeviceRegistryPropertyW, SetupDiCreateDeviceInfoW, SetupDiCreateDeviceInfoList, SetupDiGetDeviceRegistryPropertyW, SetupDiOpenDeviceInfoW
> KERNEL32.dll: HeapSize, ReadFile, SetEndOfFile, WriteConsoleW, CreateFileA, FormatMessageW, GetLastError, CloseHandle, GetCurrentProcess, GetPrivateProfileStringW, MultiByteToWideChar, LocalFree, GetModuleFileNameA, GetConsoleOutputCP, WriteConsoleA, LoadLibraryA, GetCommandLineA, HeapFree, GetVersionExA, HeapAlloc, GetProcessHeap, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, RtlUnwind, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, GetProcAddress, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, ExitProcess, WriteFile, GetStdHandle, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, DeleteCriticalSection, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, VirtualAlloc, HeapReAlloc, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, Sleep, CreateFileW, InitializeCriticalSection, SetFilePointer, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA
> ADVAPI32.dll: LookupPrivilegeValueA, AdjustTokenPrivileges, OpenProcessToken
> SHELL32.dll: SHGetFolderPathW
> ole32.dll: CLSIDFromString

( 0 exports )

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=254fbca565e049648b0cce2ceadf05d2' target='_blank'>https://www.symantec.com?md5=254fbca565e049648b0cce2ceadf05d2</a>

Utilisateur anonyme · Answer

euhhhh juste une ptite precision pour etre sur de pas faire de betises a l'avenir

Les lignes indiquant "no file" (pas no name, attention à ne pas confondre) indiquent que le fichier correspondant a été supprimé, tu peux donc les fixer sans soucis. 

c'est ok mais le cas de cette ligne
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
y'a les 2 no name et no file donc je peux fixer si j'ai bien compris !

ton explication concernerait une ligne qui n'aurait "que" no name et la je devrais laisser, c'est bien ca ?
@+

Utilisateur anonyme · Answer

et puis juste en passant j'ai repassé un cccleaner registre
et a chaque fois j'ai les meme erreurs (pourtant reparees a chaque fois)
je te les mets :
Extension de fichiers invalide	.386	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.386
Extension de fichiers invalide	.ico	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ico
Extension de fichiers invalide	.vxd	HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vxd
bon week a toi et a bientot j'espere

anthony5151 · Answer

Re ;)


Pour CCleaner, décoche "Extension de fichiers invalide" pour les recherches dans le Registre (il peut y avoir d'autres extensions que celles que CCleaner reconnait)


Pour les lignes, tu peux fixer dès l'instant qu'il y a (no file) 
Le no name indique juste que la ligne n'a pas de nom, tu n'as donc pas à t'en occuper ;)



Supprime manuellement le dossier suivant :
C:\Program Files\PurityScan

Si tu ne le trouves pas ou si tu n'arrives pas à le supprimer, dis le moi, on fera un script

Utilisateur anonyme · Answer

ok pour tout 
concernant le fichier tu t'es pas foulé lol c'est un fichier vide !
merci encore
y'a une suite concernant tes doutes ou ca y est mon pc est sain ?
sinon j'ai une ptite question sur les processus ms config
j'ai voulu faire le menage ds mon nettoyage (toujours suite aux conseils "astuces"de ccm) mais j'ai du mal
pour les interpreter et je voudrais pas virer quelquechose de legitime...

et aussi (juste pour eviter de rechercher ds tous tes sujets) pourrais tu m'aiguiller sur ce qu'il me faut pour etre "tranquille" ?

Utilisateur anonyme · Answer

ah j'oubliais comment je peux enlever les alertes d'antivir pour acheter le pack complet ?

anthony5151 · Answer

Vas-y pose ta question ;)


Ton ordinateur est sain, poste un dernier rapport hijackthis pour que je puisse te donner les conseils de sécurisation/optimisation.


Il est possible de désactiver la publicité de la version payante qui s'affiche lors de mises à jour : https://forum.malekal.com/viewtopic.php?p=45326#p45326

Cette méthode fonctionne, mais :
- Si tu l'appliques, tu ne respectes pas les conditions d'utilisation du logiciel ;
- La date jusqu'à laquelle la licence est d'Antivir est valide, qui est normalement repoussée automatiquement à chaque fois, risque de ne plus l'être, et tu risques de devoir désinstaller/réinstaller Antivir pour le faire refonctionner.

Utilisateur anonyme · Answer

bahhhhh c'est ca ma question :
sinon j'ai une ptite question sur les processus ms config 
j'ai voulu faire le menage ds mon nettoyage (toujours suite aux conseils "astuces"de ccm) mais j'ai du mal 
pour les interpreter et je voudrais pas virer quelquechose de legitime... --
autrement dit faut que je copie/colle les processus de ms config pour que tu puisses me dire lesquels enlever?
(parano mise a part) il rame un peu au dema rrage a savoir 3/4 bonnes minutes avant que je puisse ouvrir le web sans qu'il mouline...
jte poste le rapport dans les minutes qui suivent 
euhhhhhh j't'ai deja merci ?????




Faire usage de formule de politesse et échanger avec courtoisie. 
---Ca vient de la charte et j'ai trouvé cette phrase "interressante"!---
Penser à cliquer sur "resolu"quand votre probleme est regle !

Utilisateur anonyme · Answer

et voila 
(j'ai vu que t'avais fais fixer les lignes 04 "ctmon" sur d'autres rapports et tu m'avais dis pourtant que c'etait des lignes legitimes et necessaires au fonctionnement de windows: une raison par rapport a la config ?)
a+

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:35, on 23/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

anthony5151 · Answer

"autrement dit faut que je copie/colle les processus de ms config pour que tu puisses me dire lesquels enlever"

Pas besoin, hijackthis liste déjà tous les programmes qui se lancent automatiquement au démarrage (lignes 04) ;)


"j'ai vu que t'avais fais fixer les lignes 04 "ctmon" sur d'autres rapports et tu m'avais dis pourtant que c'etait des lignes legitimes et necessaires au fonctionnement de windows: une raison par rapport a la config ?"

J'ai bien dit que ctfmon était un processus Windows légitime, mais pas qu'il était obligatoire ;)
Il ne sert qu'à afficher des caractères spéciaux (ex : caractères asiatiques), c'est vrai que je devrais le préciser avant de demander à un internaute de les fixer.



Par contre, il y a une nouvelle ligne néfaste qui est apparue dans le rapport hijackthis...
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe (User '?')     

Voila la page systemlook correspondante : https://www.systemlookup.com/Startup/7780-mslagent_exe.html


Est-ce que tu peux mettre à jour Malwarebytes et faire un nouveau scan de ton ordinateur avec stp ?

Utilisateur anonyme · Answer

AVOUE T'EN FAIS EXPRESSSSSSSSSSSSSSSSS pour me former !
bon je t'envoie le rapport des qu'il est pres !

anthony5151 · Answer

mdr ^^

Moi j'allais dire que tu as fait exprès de réinfecter ton pc pour continuer à tout tester :p

Utilisateur anonyme · Answer

bon
je confirme RAS
alors ?????on fait quoi maintenant .?????????

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 5.1.2600 Service Pack 3

23/02/2009 22:28:54
mbam-log-2009-02-23 (22-28-54).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 145373
Temps écoulé: 56 minute(s), 20 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

anthony5151 · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, il ne doit être utilisé qu'en dernier recours, et une mauvaise utilisation peut faire des dégâts...  Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination :  http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation qui pourraient gêner fortement l'outil...Tu les réactiveras donc après !

Dans ton cas, il s'agit d'Antivir (fais un clic-droit sur l'icone d'Antivir près de l'horloge et décoche « Activer Antivir Guard »)

==> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 


Ensuite : 

Double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Utilisateur anonyme · Answer

rien que ca ? lol
(toujours avare d'infos: pourquoi et quand utilise t'on ce log ? c'est en dernier recours non ?)
je te fais ca des ce soir et te tiens au courant
bonne journee

Utilisateur anonyme · Answer

slt anthony bon j'etais pas rassure mais ca y est j'ai passe combofix merci a toi et bonne soiree voici le rapport: ComboFix 09-02-24.02 - STEVY 2009-02-25 20:22:12.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.191.32 [GMT 1:00] Lancé depuis: c:\documents and settings\STEVY\Bureau\C-Fix.exe AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\STEVY\Application Data\inst.exe c:\windows\system32\uninstall.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-25 au 2009-02-25 )))))))))))))))))))))))))))))))))))) . 2009-02-25 20:16 . 2009-02-25 20:16 d-------- C:\32788R22FWJFW 2009-02-25 09:19 . 2009-02-25 09:19 d-------- c:\windows\LastGood 2009-02-24 21:31 . 2009-02-24 21:31 d-------- c:\program files\Fichiers communs\Borland Shared 2009-02-24 21:31 . 1999-01-20 05:01 210,032 --a------ c:\windows\system32\DBCLIENT.DLL 2009-02-24 21:31 . 1999-11-12 05:11 183,808 --a------ c:\windows\system32\BDEADMIN.CPL 2009-02-24 21:31 . 2009-02-24 21:40 13,030 --a------ C:\PDOXUSRS.NET 2009-02-24 21:30 . 2009-02-24 21:38 d-------- c:\program files\ZebHelpProcess 2 2009-02-19 11:44 . 2009-02-19 11:44 d-------- C: sit 2009-02-19 11:44 . 2009-02-15 19:23 401,720 --a------ c:\program files\STEVY.exe 2009-02-19 11:38 . 2009-02-23 19:58 d-------- c:\program files\backups 2009-02-17 19:37 . 2009-02-17 19:37 d-------- C:\_OTMoveIt 2009-02-17 19:22 . 2009-02-17 19:22 d-------- c:\program files\Avira 2009-02-17 19:22 . 2009-02-17 19:22 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-02-17 19:19 . 2009-02-17 19:19 22,148,280 --a------ c:\program files\antivir_workstation_winu_fr_h.exe 2009-02-15 19:23 . 2009-02-15 19:23 401,720 --a------ c:\program files\HiJackThis.exe 2009-02-14 21:00 . 2009-02-14 21:00 d-------- c:\documents and settings\STEVY\Application Data\Yahoo! . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-25 19:21 --------- d-----w c:\program files\Wanadoo 2009-02-23 18:58 7,193 ----a-w c:\program files\hijackthis.log 2009-02-21 14:57 --------- d-----w c:\program files\Lexmark X1100 Series 2009-02-21 10:50 6,714 ----a-w c:\program files\hijackthis2102.log 2009-02-18 18:14 --------- d-----w c:\program files\Navilog1 2009-02-18 12:32 --------- d-----w c:\program files\Google 2009-02-17 18:31 --------- d-----w c:\program files\AxBx 2009-02-16 16:37 --------- d-----w c:\program files\Windows Live Toolbar 2009-02-15 20:34 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2009-02-15 08:12 --------- d-----w c:\program files\Yahoo! 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-02-08 10:10 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak 2009-02-08 10:07 --------- d-----w c:\program files\CyberLink 2009-02-08 10:02 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-08 10:02 --------- d-----w c:\program files\Samsung 2009-02-08 09:58 --------- d-----w c:\program files\Kodak 2009-02-08 09:50 47,360 -c--a-w c:\documents and settings\STEVY\Application Data\pcouffin.sys 2009-02-08 09:50 --------- d-----w c:\program files\WinASPI 2009-02-08 09:50 --------- d-----w c:\program files\VSO 2009-02-08 09:50 --------- d-----w c:\documents and settings\STEVY\Application Data\Vso 2009-02-08 09:49 --------- d-----w c:\program files\Fichiers communs\AVSMedia 2009-02-08 09:49 --------- d-----w c:\program files\AVS4YOU 2009-02-07 09:59 --------- d-----w c:\program files\eMule 2009-01-09 17:34 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink 2009-01-09 17:24 --------- d-----w c:\documents and settings\STEVY\Application Data\CyberLink 2008-08-30 08:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008083020080831\index.dat . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "WOOKIT"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-18 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-23 3756032] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-04-23 46080] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016] "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184] "WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768] "REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 172544] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2004-11-22 98304] "nwiz"="nwiz.exe" [2004-04-23 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.MJPG"= Pvmjpg21.dll "VIDC.PIM1"= pclepim1.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnumanLive] --a------ 2008-02-07 19:38 347136 c:\documents and settings\STEVY\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series] --a------ 2003-08-19 15:48 57344 c:\program files\Lexmark X1100 Series\lxbkbmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] --a------ 2004-12-14 18:57 458752 c:\program files\Logitech\Video\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] --a------ 2004-12-14 18:51 217088 c:\program files\Logitech\Video\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2004-11-22 19:09 98304 c:\program files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2004-08-31 15:37 26112 c:\program files\Real\RealPlayer ealplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\LEXPPS.EXE"= "c:\Program Files\eMule\emule.exe"= "c:\WINDOWS\system32\fxsclnt.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4662:TCP"= 4662:TCP:emuletcp "4672:UDP"= 4672:UDP:emuleudp S2 DVC120;Dazzle DVC120;c:\windows\system32\drivers\dvc120.sys [2004-11-23 31893] S2 Wlansvc;@%SystemRoot%\System32\wlansvc.dll,-257;c:\windows\system32\svchost.exe -k LocalSystemNetworkRestricted [2004-07-07 14336] S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?] . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-Wizard - (no file) HKLM-Run-FirstSteps - (no file) . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.orange.fr uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/search?q=%s . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-25 20:25:28 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\PerfVis\Settings\Default] @DACL=(02 0000) @SACL= [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.386\OpenWithProgids] @DACL=(02 0000) @SACL= "vxdfile"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\OpenWithProgids] @DACL=(02 0000) @SACL= "giffile"=hex(0): "NeroPhotoSnapViewer.Files7.gif"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ico\OpenWithProgids] @DACL=(02 0000) @SACL= "icofile"=hex(0): "NeroPhotoSnapViewer.Files7.ico"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jfif\OpenWithProgids] @DACL=(02 0000) @SACL= "pjpegfile"=hex(0): "NeroPhotoSnapViewer.Files7.jfif"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vxd\OpenWithProgids] @DACL=(02 0000) @SACL= "vxdfile"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmf\OpenWithProgids] @DACL=(02 0000) @SACL= "wmffile"=hex(0): "NeroPhotoSnapViewer.Files7.wmf"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop] @DACL=(02 0000) @SACL= "Toolbars"=hex:11,00,00,00,00,00,00,00 "TaskbarWinXP"=hex:0c,00,00,00,08,00,00,00,03,00,00,00,00,00,00,00,b0,e2,2b,d8, 64,57,d0,11,a9,6e,00,c0,4f,d7,05,a2,22,00,1c,00,0a,10,00,00,1a,00,00,00,01,\ "Upgrade"=dword:00000001 [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\Shell\Bags\1] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,4e,66,cc,0e,6a, de,e0,9e,e2,63,26,f1,3f,c8,ff,68,c5,45,23,62,9f,c6,a7,22,e2,63,26,f1,3f,c8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,fc,da,64,d5,30, ee,0c,88,6a,9c,d6,61,af,45,84,18,55,4c,20,1c,81,33,fe,36,6a,9c,d6,61,af,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,f6,a3,c3,a9,da, 97,43,2d,ff,7c,85,e0,43,d4,0e,fe,73,7d,13,53,56,6f,cc,58,ff,7c,85,e0,43,d4,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,bd,64,0d,c5,a1, 72,f0,8a,86,8c,21,01,be,91,eb,e7,75,99,4a,60,24,ce,ee,8f,86,8c,21,01,be,91,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,3b,4b,8c,7a,c7, 03,02,41,f5,1d,4d,73,a8,13,5c,05,b4,ae,65,77,f4,72,39,73,f5,1d,4d,73,a8,13,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,15,a4,d8,14,fa, 87,67,bf,df,20,58,62,78,6b,cf,c8,16,d9,ea,ba,99,ba,21,66,df,20,58,62,78,6b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,a4,3f,b5,29,3b, 69,39,04,fb,a7,78,e6,12,2f,9a,ea,5a,3a,2a,4e,41,42,a9,e0,fb,a7,78,e6,12,2f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\ProgID] @DACL=(02 0000) @SACL= @="AcroAccess.AcrobatAccess.1" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\Programmable] @DACL=(02 0000) @SACL= @="" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\TypeLib] @DACL=(02 0000) @SACL= @="{C523F390-9C83-11D3-9094-00104BD0D535}" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\VersionIndependentProgID] @DACL=(02 0000) @SACL= @="AcroAccess.AcrobatAccess" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,17,3c,b5,cf,a0, 31,5c,a2,01,3a,48,fc,e8,04,4a,f1,0d,5c,ec,33,74,ab,34,72,01,3a,48,fc,e8,04,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,df,13,2b,e1,6a, 22,9f,bf,f6,0f,4e,58,98,5b,89,c9,41,8b,77,e5,4f,fb,a6,2f,f6,0f,4e,58,98,5b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,12,a3,e1,5e,31, e7,6f,a4,3d,ce,ea,26,2d,45,aa,78,7c,5e,83,cf,ff,62,0d,fb,3d,ce,ea,26,2d,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,c8,d2,91,20,75, 8e,16,9c,2a,b7,cc,b5,b9,7f,41,e7,d9,93,99,8a,90,c9,fc,69,2a,b7,cc,b5,b9,7f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,28,6e,fc,e8,d3, 34,8a,e3,6c,43,2d,1e,aa,22,2f,9c,64,84,db,79,c5,72,21,90,6c,43,2d,1e,aa,22,\ [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSP\CLSID] @DACL=(02 0000) @SACL= @="{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}" [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSP\CurVer] @DACL=(02 0000) @SACL= @="DSP.DSP.1" [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSPDMOProp_Chorus.1\CLSID] @DACL=(02 0000) @SACL= @="{6F63B172-5543-4593-91CE-EDBA65B9FACDB}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\ProxyStubClsid] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\ProxyStubClsid32] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\TypeLib] @DACL=(02 0000) @SACL= @="{CA8A9783-280D-11CF-A24D-444553540000}" "Version"="1.3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\ProxyStubClsid] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\ProxyStubClsid32] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\TypeLib] @DACL=(02 0000) @SACL= @="{CA8A9783-280D-11CF-A24D-444553540000}" "Version"="1.3" [HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{C523F390-9C83-11D3-9094-00104BD0D535}\2.0] @DACL=(02 0000) @SACL= @="Acrobat Access 2.0 Type Library" [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\ieupdate\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\oeupdate\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}] @DACL=(02 0000) "Priority"=dword:00000001 "AutoInsert"=dword:00000001 "Name"="WMPlayer Spectrum Analyzer DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}] @DACL=(02 0000) "Priority"=dword:fffffffb "AutoInsert"=dword:00000001 "Name"="WMPlayer SRSWow DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}] @DACL=(02 0000) "Priority"=dword:fffffffe "AutoInsert"=dword:00000001 "Name"="WMPlayer Video Processing DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}] @DACL=(02 0000) "Priority"=dword:00000002 "AutoInsert"=dword:00000000 "Name"="Speaker Enhancement DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}] @DACL=(02 0000) "Priority"=dword:00000003 "AutoInsert"=dword:00000001 "Name"="WMPlayer Equalizer DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Player\CDData] @DACL=(02 0000) . Heure de fin: 2009-02-25 20:28:55 ComboFix-quarantined-files.txt 2009-02-25 19:28:49 Avant-CF: 82ÿ779ÿ054ÿ080 octets libres AprÞs-CF: 82,770,063,360 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn 351 --- E O F --- 2009-02-20 22:05:22

Utilisateur anonyme · Answer

ps j'ai un icone ds mon panneau de config que je n'ai jamais vu, tu connais ?
une cle a molette sur un fond de drapeau rouge et blanc et un truc jaune, titre BDE ADMINISTRATOR : sans cliquer il est inscrit : configures the borlanddatabase engine
merci a toi

Utilisateur anonyme · Answer

ci joint rapport hijack suite a combofix
mais la ligne est toujours la !!!!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:35, on 25/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Wanadoo\GestionnaireInternet.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1048.dll,InstantAccess (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Fichiers communs\Ahead\Lib\NMFirstStart.exe (User '?')
O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Utilisateur anonyme · Answer

slt anthony
je viens de remettre le nez sur mon rapport hijack 
et 
STUPEFACTIONNNNNNNNN
j'ai une put*** de nouvelle ligne nefaste qui est apparue 
 O4 - HKUS\S-1-5-21-2876816141-741413191-3822251982-1007\..\Run: [Instant Access] rundll32.exe EGCOMSERVICE_1048.dll,InstantAccess (User '?') 

comment est ce possible bordel !

la journee je suis au taf et toute la soiree sur ccm en dehors de ma messagerie, comment ai je pu attraper cette daube ?

bonne journee a toi

Utilisateur anonyme · Answer

anthony
ton eleve est un idiot !!!!!!!
le rapport combo est ds le post 36 ds  le 37 il ya une ptite question et ne fais pas gaffe au 38, tu vas rigoler ;)

combo ne m'a pas fait redemarrer mon pc et j'ai fais hijack de suite apres, j'ai refais un hijack ce matin et il se trouve ci dessous :

il me reste a fixer cette ligne
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 

mdr, soit tolerant !
la bonne nouvelle c'est que la ligne qui nous gene depuis le debut a "disparu"
j'attends ta confirmation et la suite avec plaisir

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 09:59:28, on 26/02/2009 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v7.00 (7.00.6000.16791) 
Boot mode: Normal 

Running processes: 
C:\WINDOWS\System32\smss.exe 
C:\WINDOWS\system32\winlogon.exe 
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe 
C:\WINDOWS\system32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\system32\LEXBCES.EXE 
C:\WINDOWS\system32\spoolsv.exe 
C:\WINDOWS\system32\LEXPPS.EXE 
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe 
C:\WINDOWS\Explorer.EXE 
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe 
C:\WINDOWS\System32
vsvc32.exe 
C:\WINDOWS\system32\slserv.exe 
C:\WINDOWS\System32\svchost.exe 
C:\WINDOWS\wanmpsvc.exe 
C:\WINDOWS\system32\fxssvc.exe 
C:\WINDOWS\system32\LVCOMSX.EXE 
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe 
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe 
C:\WINDOWS\system32\ctfmon.exe 
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe­ 
C:\WINDOWS\System32\svchost.exe 
C:\Program Files\Wanadoo\GestionnaireInternet.exe 
C:\Program Files\Wanadoo\ComComp.exe 
C:\PROGRA~1\Wanadoo\Toaster.exe 
C:\PROGRA~1\Wanadoo\Inactivity.exe 
C:\PROGRA~1\Wanadoo\PollingModule.exe 
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE 
C:\Program Files\Wanadoo\Watch.exe 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 
C:\Program Files\Windows Live\Messenger\usnsvc.exe 
C:\Program Files\Internet Explorer\IEXPLORE.EXE 
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe 
C:\Program Files\HiJackThis.exe 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll 
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll 
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll 
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll 
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit 
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe 
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg 
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE 
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe 
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN 
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe 
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') 
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') 
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll 
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe 
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe 
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU) 
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe 
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe 
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe 
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe 
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE 
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe 
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe 
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe 

End of file - 6404 bytes

anthony5151 · Answer

/!\ ATTENTION /!\  Le script qui suit a été écrit spécialement pour neophyte***, il n'est pas transposable sur un autre ordinateur !


Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File:: 
C:\WINDOWS\mslagent\mslagent.exe

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes 

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
• Si le fichier ne s'ouvre pas, il se trouve ici &#8594; C:\ComboFix.txt



Ce script va demander à Combofix de supprimer le fichier infecté lié à la ligne qui nous dérangeait.
Après ça, fais redémarrer ton ordinateur et poste un nouveau rapport hijackthis stp

Utilisateur anonyme · Answer

bonne surprise !
ok je te fais ce soir j'suis au taf 
@+ et merci

Utilisateur anonyme · Answer

slt merci pour ton script tu trouveras le rapport combo comme prevu a noter que: le buraeu n'a jamais disparu :) et surtout que ce rapport est compte tenu que combo ne pas demandé de redemarrer ! au cas ou ca a une importance ! merci et bon week ComboFix 09-02-24.02 - STEVY 2009-02-28 21:41:22.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.191.33 [GMT 1:00] Lancé depuis: c:\documents and settings\STEVY\Bureau\C-Fix.exe Commutateurs utilisés :: c:\documents and settings\STEVY\Bureau\CFScript.txt AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) * Un nouveau point de restauration a été créé FILE :: c:\windows\mslagent\mslagent.exe . ((((((((((((((((((((((((((((( Fichiers créés du 2009-01-28 au 2009-02-28 )))))))))))))))))))))))))))))))))))) . 2009-02-24 21:31 . 2009-02-24 21:31 d-------- c:\program files\Fichiers communs\Borland Shared 2009-02-24 21:31 . 1999-01-20 05:01 210,032 --a------ c:\windows\system32\DBCLIENT.DLL 2009-02-24 21:31 . 1999-11-12 05:11 183,808 --a------ c:\windows\system32\BDEADMIN.CPL 2009-02-24 21:31 . 2009-02-27 20:04 13,030 --a------ C:\PDOXUSRS.NET 2009-02-24 21:30 . 2009-02-24 21:38 d-------- c:\program files\ZebHelpProcess 2 2009-02-19 11:44 . 2009-02-19 11:44 d-------- C: sit 2009-02-19 11:44 . 2009-02-15 19:23 401,720 --a------ c:\program files\STEVY.exe 2009-02-19 11:38 . 2009-02-23 19:58 d-------- c:\program files\backups 2009-02-17 19:37 . 2009-02-17 19:37 d-------- C:\_OTMoveIt 2009-02-17 19:22 . 2009-02-17 19:22 d-------- c:\program files\Avira 2009-02-17 19:22 . 2009-02-17 19:22 d-------- c:\documents and settings\All Users\Application Data\Avira 2009-02-17 19:19 . 2009-02-17 19:19 22,148,280 --a------ c:\program files\antivir_workstation_winu_fr_h.exe 2009-02-15 19:23 . 2009-02-15 19:23 401,720 --a------ c:\program files\HiJackThis.exe 2009-02-14 21:00 . 2009-02-14 21:00 d-------- c:\documents and settings\STEVY\Application Data\Yahoo! . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-28 18:26 --------- d-----w c:\program files\Wanadoo 2009-02-26 08:59 6,405 ----a-w c:\program files\hijackthis.log 2009-02-21 14:57 --------- d-----w c:\program files\Lexmark X1100 Series 2009-02-21 10:50 6,714 ----a-w c:\program files\hijackthis2102.log 2009-02-18 18:14 --------- d-----w c:\program files\Navilog1 2009-02-18 12:32 --------- d-----w c:\program files\Google 2009-02-17 18:31 --------- d-----w c:\program files\AxBx 2009-02-16 16:37 --------- d-----w c:\program files\Windows Live Toolbar 2009-02-15 20:34 --------- d-----w c:\program files\Malwarebytes' Anti-Malware 2009-02-15 08:12 --------- d-----w c:\program files\Yahoo! 2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-02-08 10:10 --------- d-----w c:\documents and settings\All Users\Application Data\Kodak 2009-02-08 10:07 --------- d-----w c:\program files\CyberLink 2009-02-08 10:02 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-08 10:02 --------- d-----w c:\program files\Samsung 2009-02-08 09:58 --------- d-----w c:\program files\Kodak 2009-02-08 09:50 47,360 -c--a-w c:\documents and settings\STEVY\Application Data\pcouffin.sys 2009-02-08 09:50 --------- d-----w c:\program files\WinASPI 2009-02-08 09:50 --------- d-----w c:\program files\VSO 2009-02-08 09:50 --------- d-----w c:\documents and settings\STEVY\Application Data\Vso 2009-02-08 09:49 --------- d-----w c:\program files\Fichiers communs\AVSMedia 2009-02-08 09:49 --------- d-----w c:\program files\AVS4YOU 2009-02-07 09:59 --------- d-----w c:\program files\eMule 2009-01-09 17:34 --------- d-----w c:\documents and settings\All Users\Application Data\CyberLink 2009-01-09 17:24 --------- d-----w c:\documents and settings\STEVY\Application Data\CyberLink 2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll 2008-08-30 08:06 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008083020080831\index.dat . ((((((((((((((((((((((((((((( SnapShot@2009-02-25_20.27.29,43 ))))))))))))))))))))))))))))))))))))))))) . + 2008-06-17 19:02:15 8,517,632 -c----w c:\windows\system32\dllcache\shell32.dll - 2008-04-14 02:33:41 8,517,632 ----a-w c:\windows\system32\shell32.dll + 2008-06-17 19:02:15 8,517,632 ----a-w c:\windows\system32\shell32.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "WOOKIT"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-18 39408] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-04-23 3756032] "NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-04-23 46080] "WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480] "PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016] "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2004-12-14 221184] "WOOTASKBARICON"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768] "REGSHAVE"="c:\program files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248] "avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2004-11-22 98304] "nwiz"="nwiz.exe" [2004-04-23 c:\windows\system32 wiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.MJPG"= Pvmjpg21.dll "VIDC.PIM1"= pclepim1.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnumanLive] --a------ 2008-02-07 19:38 347136 c:\documents and settings\STEVY\Application Data\Anuman Interactive\AnumanLive\AnumanLive.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series] --a------ 2003-08-19 15:48 57344 c:\program files\Lexmark X1100 Series\lxbkbmgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair] --a------ 2004-12-14 18:57 458752 c:\program files\Logitech\Video\ISStart.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray] --a------ 2004-12-14 18:51 217088 c:\program files\Logitech\Video\LogiTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2004-11-22 19:09 98304 c:\program files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray] --a------ 2004-08-31 15:37 26112 c:\program files\Real\RealPlayer ealplay.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\LEXPPS.EXE"= "c:\Program Files\eMule\emule.exe"= "c:\WINDOWS\system32\fxsclnt.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Messenger\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 "4662:TCP"= 4662:TCP:emuletcp "4672:UDP"= 4672:UDP:emuleudp S2 DVC120;Dazzle DVC120;c:\windows\system32\drivers\dvc120.sys [2004-11-23 31893] S3 CrystalSysInfo;CrystalSysInfo;\??\c:\program files\MediaCoder\SysInfo.sys --> c:\program files\MediaCoder\SysInfo.sys [?] --- Autres Services/Pilotes en mémoire --- *Deregistered* - Netman *Deregistered* - Nla *Deregistered* - NVSvc *Deregistered* - PolicyAgent *Deregistered* - ProtectedStorage *Deregistered* - RasMan *Deregistered* - RpcSs *Deregistered* - SamSs *Deregistered* - Schedule *Deregistered* - seclogon *Deregistered* - SENS *Deregistered* - SharedAccess *Deregistered* - ShellHWDetection *Deregistered* - SLService *Deregistered* - Spooler *Deregistered* - srservice *Deregistered* - SSDPSRV *Deregistered* - stisvc *Deregistered* - TapiSrv *Deregistered* - TermService *Deregistered* - Themes *Deregistered* - TrkWks *Deregistered* - upnphost *Deregistered* - usnjsvc *Deregistered* - W32Time *Deregistered* - WANMiniportService *Deregistered* - WebClient *Deregistered* - winmgmt *Deregistered* - wscsvc *Deregistered* - wuauserv *Deregistered* - WZCSVC . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.orange.fr uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/search?q=%s . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-28 21:46:50 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\PerfVis\Settings\Default] @DACL=(02 0000) @SACL= [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.386\OpenWithProgids] @DACL=(02 0000) @SACL= "vxdfile"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.gif\OpenWithProgids] @DACL=(02 0000) @SACL= "giffile"=hex(0): "NeroPhotoSnapViewer.Files7.gif"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ico\OpenWithProgids] @DACL=(02 0000) @SACL= "icofile"=hex(0): "NeroPhotoSnapViewer.Files7.ico"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.jfif\OpenWithProgids] @DACL=(02 0000) @SACL= "pjpegfile"=hex(0): "NeroPhotoSnapViewer.Files7.jfif"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vxd\OpenWithProgids] @DACL=(02 0000) @SACL= "vxdfile"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmf\OpenWithProgids] @DACL=(02 0000) @SACL= "wmffile"=hex(0): "NeroPhotoSnapViewer.Files7.wmf"=hex(0): [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop] @DACL=(02 0000) @SACL= "Toolbars"=hex:11,00,00,00,00,00,00,00 "TaskbarWinXP"=hex:0c,00,00,00,08,00,00,00,03,00,00,00,00,00,00,00,b0,e2,2b,d8, 64,57,d0,11,a9,6e,00,c0,4f,d7,05,a2,22,00,1c,00,0a,10,00,00,1a,00,00,00,01,\ "Upgrade"=dword:00000001 [HKEY_USERS\S-1-5-21-2876816141-741413191-3822251982-1006\Software\Microsoft\Windows\Shell\Bags\1] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "cd042efbbd7f7af1647644e76e06692b"=hex:e2,63,26,f1,3f,c8,ff,68,4e,66,cc,0e,6a, de,e0,9e,e2,63,26,f1,3f,c8,ff,68,c5,45,23,62,9f,c6,a7,22,e2,63,26,f1,3f,c8,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "bca643cdc5c2726b20d2ecedcc62c59b"=hex:71,3b,04,66,8b,46,0d,96,fc,da,64,d5,30, ee,0c,88,6a,9c,d6,61,af,45,84,18,55,4c,20,1c,81,33,fe,36,6a,9c,d6,61,af,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "2c81e34222e8052573023a60d06dd016"=hex:25,da,ec,7e,55,20,c9,26,f6,a3,c3,a9,da, 97,43,2d,ff,7c,85,e0,43,d4,0e,fe,73,7d,13,53,56,6f,cc,58,ff,7c,85,e0,43,d4,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0,57,5a,93,61,bd,64,0d,c5,a1, 72,f0,8a,86,8c,21,01,be,91,eb,e7,75,99,4a,60,24,ce,ee,8f,86,8c,21,01,be,91,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "caaeda5fd7a9ed7697d9686d4b818472"=hex:cd,44,cd,b9,a6,33,6c,cd,3b,4b,8c,7a,c7, 03,02,41,f5,1d,4d,73,a8,13,5c,05,b4,ae,65,77,f4,72,39,73,f5,1d,4d,73,a8,13,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:b0,18,ed,a7,3f,8d,37,a4,15,a4,d8,14,fa, 87,67,bf,df,20,58,62,78,6b,cf,c8,16,d9,ea,ba,99,ba,21,66,df,20,58,62,78,6b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6,12,2f,9a,ea,a4,3f,b5,29,3b, 69,39,04,fb,a7,78,e6,12,2f,9a,ea,5a,3a,2a,4e,41,42,a9,e0,fb,a7,78,e6,12,2f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\ProgID] @DACL=(02 0000) @SACL= @="AcroAccess.AcrobatAccess.1" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\Programmable] @DACL=(02 0000) @SACL= @="" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\TypeLib] @DACL=(02 0000) @SACL= @="{C523F390-9C83-11D3-9094-00104BD0D535}" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{C523F39F-9C83-11D3-9094-00104BD0D535}\VersionIndependentProgID] @DACL=(02 0000) @SACL= @="AcroAccess.AcrobatAccess" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc,e8,04,4a,f1,17,3c,b5,cf,a0, 31,5c,a2,01,3a,48,fc,e8,04,4a,f1,0d,5c,ec,33,74,ab,34,72,01,3a,48,fc,e8,04,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "1fac81b91d8e3c5aa4b0a51804d844a3"=hex:f6,0f,4e,58,98,5b,89,c9,df,13,2b,e1,6a, 22,9f,bf,f6,0f,4e,58,98,5b,89,c9,41,8b,77,e5,4f,fb,a6,2f,f6,0f,4e,58,98,5b,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "f5f62a6129303efb32fbe080bb27835b"=hex:37,a4,aa,c3,a6,15,56,0a,12,a3,e1,5e,31, e7,6f,a4,3d,ce,ea,26,2d,45,aa,78,7c,5e,83,cf,ff,62,0d,fb,3d,ce,ea,26,2d,45,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:f8,31,0f,a9,5f,a0,ec,fb,c8,d2,91,20,75, 8e,16,9c,2a,b7,cc,b5,b9,7f,41,e7,d9,93,99,8a,90,c9,fc,69,2a,b7,cc,b5,b9,7f,\ [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*] "ThreadingModel"="Apartment" @="c:\WINDOWS\system32\OLE32.DLL" "8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f,d4,3b,6b,70,28,6e,fc,e8,d3, 34,8a,e3,6c,43,2d,1e,aa,22,2f,9c,64,84,db,79,c5,72,21,90,6c,43,2d,1e,aa,22,\ [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSP\CLSID] @DACL=(02 0000) @SACL= @="{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}" [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSP\CurVer] @DACL=(02 0000) @SACL= @="DSP.DSP.1" [HKEY_LOCAL_MACHINE\software\Classes\DSP.DSPDMOProp_Chorus.1\CLSID] @DACL=(02 0000) @SACL= @="{6F63B172-5543-4593-91CE-EDBA65B9FACDB}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\ProxyStubClsid] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\ProxyStubClsid32] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9781-280D-11CF-A24D-444553540000}\TypeLib] @DACL=(02 0000) @SACL= @="{CA8A9783-280D-11CF-A24D-444553540000}" "Version"="1.3" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\ProxyStubClsid] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\ProxyStubClsid32] @DACL=(02 0000) @SACL= @="{00020420-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{CA8A9782-280D-11CF-A24D-444553540000}\TypeLib] @DACL=(02 0000) @SACL= @="{CA8A9783-280D-11CF-A24D-444553540000}" "Version"="1.3" [HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{C523F390-9C83-11D3-9094-00104BD0D535}\2.0] @DACL=(02 0000) @SACL= @="Acrobat Access 2.0 Type Library" [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\ieupdate\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\oeupdate\RegBackup] @DACL=(02 0000) @SACL= [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}] @DACL=(02 0000) "Priority"=dword:00000001 "AutoInsert"=dword:00000001 "Name"="WMPlayer Spectrum Analyzer DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}] @DACL=(02 0000) "Priority"=dword:fffffffb "AutoInsert"=dword:00000001 "Name"="WMPlayer SRSWow DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}] @DACL=(02 0000) "Priority"=dword:fffffffe "AutoInsert"=dword:00000001 "Name"="WMPlayer Video Processing DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}] @DACL=(02 0000) "Priority"=dword:00000002 "AutoInsert"=dword:00000000 "Name"="Speaker Enhancement DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}] @DACL=(02 0000) "Priority"=dword:00000003 "AutoInsert"=dword:00000001 "Name"="WMPlayer Equalizer DMO" [HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\Player\CDData] @DACL=(02 0000) . Heure de fin: 2009-02-28 21:51:37 ComboFix-quarantined-files.txt 2009-02-28 20:51:30 ComboFix2.txt 2009-02-25 19:28:57 Avant-CF: 82ÿ675ÿ445ÿ760 octets libres AprÞs-CF: 82,664,185,856 octets libres 375 --- E O F --- 2009-02-25 22:03:38

anthony5151 · Answer

Il a bien pris en compte le script, mais le fichier n'existe plus puisqu'il n'a rien supprimé :)

Je regarderai le rapport en détail demain.
En attendant, poste un nouveau rapport hijackthis stp

Utilisateur anonyme · Answer

comme jte disais :pc assez long au demarrage (sans doute normal)et nouvel icone internet sur le bureau ?

voici le nouveau rapport (ca fait le 15eme, tu refais la deco de ta chambre lol ;)))

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:06:24, on 01/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32
vsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32
vsvc32.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

anthony5151 · Answer

Re ;)

Le rapport ne montre plus d'infection, as-tu encore des problèmes ?
La vitesse de redémarrage est-elle à nouveau satisfaisante ?

Pour la nouvelle icône, c'est dû à Combofix, tu peux la supprimer si tu veux.

Utilisateur anonyme · Answer

pour ce soir ca va en rapidite
par contre un autre probleme mais tu vas rigoler
ts mes icones et a chaque demarrage se retrouvent a gauche de l'ecran
je les range ts les jours (ts ce qui est secu et log a droite mais ils se retrouvent toujours a gauche
rien d'important mais plutot chiant 
surtout qd t'as une FEMMEEEEEEEE et des enfants et que le fons d'ecran les concerne...
concernant la securisation lol economise un message , c'est deja enregistré ds mes canned
LOL
bonne soiree et merci encorre

anthony5151 · Answer

De rien ;)

Pour tes icônes :  quand tu fais un clic-droit sur ton fond d'écran --> Affichage, est-ce que "Réorganisation automatiques" est coché ?


Bon, tu connais déjà mon canned speech de fin de nettoyage, mais je te le propose quand même, adapté à ton ordinateur ;)  Voici donc quelques conseils pour finir le nettoyage proprement, sécuriser ton ordinateur et l'optimiser.


1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille vivement de désinstaller la tienne (barre d'outil Google).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle la Google Toolbar.



2) Sécurise ton ordinateur 

• Anti-spyware :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement (« Updates »), tous les 15 jours environ, et activer toutes les protections (« Enable all protection ») 
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox avec deux extensions :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.



3) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) : 

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll    
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll    
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll    
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll    
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install    
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime    
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')    
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe    
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe    
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe    

Ensuite, clique sur "Fix checked" 



4) Menu démarrer &#8594; Exécuter &#8594; tape Combofix /u (l'espace est important) pour désinstaller Combofix.
Puis télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer. 
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



5) Télécharge et installe CCleaner  (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



6) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). 

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés. 
• Sélectionne l'onglet restauration du système 
• Coche l'option Désactiver la restauration du système sur tous les lecteurs 
• Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système. 



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

Utilisateur anonyme · Answer

Pour tes icônes : quand tu fais un clic-droit sur ton fond d'écran --> Affichage, est-ce que "Réorganisation automatiques" est coché ? 

non justement et c'est la qu'est bien lme probleme !

concernant la fin jt'ai pas attendu ;)
spywareblaster est deja la
il me reste le "reste" a faire

et concernant le lien "prevention" ca fait belle lurette que j'l'ai lu ;)
tres interressant d'ailleurs !

et je l'ai inclus ds mon canned aussi d'ailleurs c'est le meme que le tien ;) bizarre
justement concernant les maj de java et adobe j't'envoie un mp demain a ce sujet 
merci encore et bonne soiree

concernant les icones j'attends ton eventuelle solution sinon je considere ce sujet resolu

Behavioural.file

47 réponses

Newsletters