Sujet Précédent Sujet Suivant

Zlob.dnsplayer

Fermé
stephanoue - 5 déc. 2007 à 23:56
 amazing-azn - 8 janv. 2008 à 22:29
Bonjour,

Spybot vient de trouver un virus sur mon pc qui s'appelle Zlob.dnsplayer. Je n'arrive pas à m'en débarrasser. Comment puis je faire svp??

Merci d'avance

21 réponses

  • 1
  • 2
Réponse 1 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 00:06
Tout d'abord Bonjour et bienvenue sur le forum d'entraide COMMENT CA MARCHE

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm




ensuite




Tu vas télécharger SmitFraudFix :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Suis ces procédures:

Double-clique sur smitfraudfix.exe
Sélectionne 1 (MAIS SURTOUT PAS LE 2 JE TE DIRAIS QUAND TU POURRA LE FAIRE ) puis appuie "entrer" ensuite un rapport sera généré dans ce chemin :

C:\rapport.txt

Puis tu le colle dans ton prochain post

Remarque:

Faux positif:
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/processutil/processutil.htm

0
Réponse 2 / 21
stephanoue
6 déc. 2007 à 00:11
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:10:21, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/fr/fra/gen/default.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Avast] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKLM\..\Policies\Explorer\Run: [none] C:\Program Files\Video ActiveX Object\pmsngr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://vanoulamaladroite.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {F5649DF8-6CD6-487C-BDB2-D93E3B3655AC} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/en/web/player/vivid_ocx.jpeg
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - http://192.168.0.100:2000/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer = 85.255.113.110,85.255.112.23
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer = 85.255.113.110,85.255.112.23
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
0
Réponse 3 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 00:13
infection warout !!!
0
Réponse 4 / 21
stephanoue
6 déc. 2007 à 00:18
SmitFraudFix v2.258

Rapport fait à 0:14:50,14, 06/12/2007
Executé à partir de C:\Documents and Settings\steph\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
stephanoue
6 déc. 2007 à 00:19
merci de m'aider parce que je comprends pas grand chose...

Alors maintenant je fais quoi???
0
Réponse 6 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 00:21
le rapport smitfraud n'est pas entier , reposte le en totalité stp ensuite je te donnerai la demarche a suivre ;)
0
Réponse 7 / 21
stephanoue
6 déc. 2007 à 00:23
SmitFraudFix v2.258

Rapport fait à 0:14:50,14, 06/12/2007
Executé à partir de C:\Documents and Settings\steph\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\steph


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\steph\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\steph\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\PROGRA~1\\KASPER~1\\KASPER~1.0\\adialhk.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdpjq.exe"

kdpjq.exe détecté !


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Kaspersky Anti-Virus NDIS Miniport
DNS Server Search Order: 208.67.220.220
DNS Server Search Order: 208.67.222.222

Description: Intel(R) PRO/Wireless LAN 2100 3A Mini PCI Adapter - Kaspersky Anti-Virus NDIS Miniport
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 8 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 00:24
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
----------------------------------------------------------------------------
Relance le programme Smitfraud,
Cette fois choisit l’option 2, répond oui a tous ;
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum


0
Réponse 9 / 21
stephanoue
6 déc. 2007 à 00:40
SmitFraudFix v2.258

Rapport fait à 0:30:28,75, 06/12/2007
Executé à partir de C:\Documents and Settings\steph\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CCS\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS1\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: DhcpNameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{898FC592-54CB-4A89-AA7E-EF7388836C99}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}: NameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CS2\Services\Tcpip\..\{ADCFD078-8455-4AE0-895D-929FDE8F4472}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}: DhcpNameServer=85.255.113.110,85.255.112.23
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=208.67.220.220,208.67.222.222


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdpjq.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\kdpjq.exe supprimé

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 10 / 21
stephanoue
6 déc. 2007 à 00:46
je ne sais pas ce que veut dire le rapport mais j'espere que ça sera ok!! Par ailleurs, pendant la reparation, le nettoyage du disque a été demandé mais le truc que le nettoyage de mon disque ne marche plus , il y a une erreur qui se produit à chaque fois...je sais pas trop si c un virus ou quoi??? Pareil pour mon lecteur windows media player qui demarre 5 minutes et puis une erreur survient et il s'arrete.
0
Réponse 11 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 00:53
ok, la suite :

on va s'occuper de warout :

* Télécharge FixWareout d'un de ces deux sites sur le bureau:
http://downloads.subratam.org/Fixwareout.exe

* Lance le fix: clique sur Next, puis Install, puis assure toi que "Run fixit" est activé puis clique sur Finish.
Le fix va commencer, suis les messages à l'écran. Il te sera demandé de redémarrer ton ordinateur, fais le. Ton système mettra un peu plus de temps au démarrage, c'est normal.

*Poste (Copie/colle) le contenu du rapport qui va s'afficher à l'écran (report.txt) avec un nouveau rapport HijackThis! dans ta prochaine réponse.

0
Réponse 12 / 21
stephanoue
6 déc. 2007 à 01:06
Username "steph" - 06/12/2007 0:57:33 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{898FC592-54CB-4A89-AA7E-EF7388836C99}
"nameserver"="85.255.113.110,85.255.112.23" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}
"nameserver"="85.255.113.110,85.255.112.23" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{898FC592-54CB-4A89-AA7E-EF7388836C99}
"DhcpNameServer"="85.255.113.110,85.255.112.23" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{9BD1A991-CBD3-4CEF-96D3-CF3B9DBC6D7B}
"DhcpNameServer"="85.255.113.110,85.255.112.23" <Value cleared.
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{FB2583D9-C644-4DEB-B9E5-8BF10C11C62E}
"DhcpNameServer"="85.255.113.110,85.255.112.23" <Value cleared.

Cache de résolution DNS vidé.


System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Avast"="\"C:\\Program Files\\Alwil Software\\Avast4\\ashDisp.exe\""
"AVP"="\"C:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 7.0\\avp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="\"C:\\Program Files\\MSN Messenger\\msnmsgr.exe\" /background"
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SuperCopier2.exe"="C:\\Program Files\\SuperCopier2\\SuperCopier2.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~


Voili voila!!au fait c quoi un warout??
0
Réponse 13 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 01:09
WareOut est un faux anti-spyware qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infectés par un spyware et vous recommande d'acheter l'anti-spyware WareOut qui est un produit commercial.

Le seul but de ce spyware est de vous faire acheter cet anti-spyware


source Malekal



remet moi aussi un nouveau log hijackthis
0
Réponse 14 / 21
stephanoue
6 déc. 2007 à 01:12
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:11:45, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Avast] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://vanoulamaladroite.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {F5649DF8-6CD6-487C-BDB2-D93E3B3655AC} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/en/web/player/vivid_ocx.jpeg
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - http://192.168.0.100:2000/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
0
Réponse 15 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 01:14
Télécharge « clean.zip »
http://www.malekal.com/download/clean.zip
•- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier dénommé "clean ".

•- Redémarre en mode sans échec. ( note bien ce que tu as à faire ).
Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter.
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).


•- Ouvre le dossier « clean » qui se trouve sur ton bureau.
•- Double-clic sur « clean.cmd ».
Une fenêtre noire va apparaître, choisis l’option 2.

Clean va travailler.
•- Redémarre normalement
•- Poste qui se trouve ici C:\rapport_clean.txt.

(- Où est le rapport clean ? : « Poste de travail » / double clic sur disque « C / » double-clic sur « rapport_clean.txt » et « copier/coller le contenu » sur le forum. )






Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


0
Réponse 16 / 21
stephanoue
6 déc. 2007 à 01:35
Script execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Script execute en mode sans echec 06/12/2007 a 1:25:23,18

Microsoft Windows XP [version 5.1.2600]

*** Suppression des fichiers dans C:
tentative de suppression de C:\autorun.inf

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32

*** Suppression des fichiers dans C:\Program Files
tentative de suppression de "C:\Program Files\DivX\Google\Firefox\ffinstaller.exe"

*** Suppression des clefs du registre effectuee..
*** Fin du rapport !


voila pour clean!!!j'enchaine sur l'autre...
0
Réponse 17 / 21
stephanoue
6 déc. 2007 à 02:08
SDFix: Version 1.117

Run by steph on 06/12/2007 at 01:52

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\steph\Bureau\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 01:58:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

IPC error: 2 Le fichier spécifié est introuvable.
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40]
"khjeh"=hex:20,02,00,00,8a,71,0f,87,30,77,81,3c,ee,1f,60,2d,ae,5f,d7,a7,82,..
"hj34z0"=hex:92,60,39,2c,51,43,76,59,c1,03,c0,d3,16,7d,31,42,46,75,0e,b7,b1,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}]
"DisplayName"="DAEMON Tools"

scanning hidden files ...

C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\s.ceyrac@caramail.com\SharingMetadata\machemao@hotmail.com\DFSR\Staging\CS{A241AF81-5D39-D634-4BC5-F723B0BF8160}\01\10-{A241AF81-5D39-D634-4BC5-F723B0BF8160}-v1-{47837E4D-D1AD-4E62-8B18-89E38E276ACF}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\01\10-{791FEB7C-3BBF-94D1-C806-8286A90D04AC}-v1-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v10-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 8 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\11\43-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v11-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v43-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11172 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\11\43-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v11-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v43-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1232 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\12\52-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v12-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v52-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11136 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\12\52-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v12-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v52-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1248 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\13\44-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v13-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v44-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 10848 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\13\44-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v13-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v44-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1216 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\14\45-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v14-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v45-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11802 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\14\45-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v14-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v45-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1280 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\15\51-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v15-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v51-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 10758 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\15\51-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v15-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v51-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1216 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\16\42-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v16-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v42-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11028 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\16\42-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v16-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v42-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1248 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\16\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v16-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v47-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 13980 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\16\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v16-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v47-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1552 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\17\41-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v17-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v41-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 11694 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\17\41-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v17-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v41-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1304 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\17\48-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v17-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v48-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 13818 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\17\48-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v17-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v48-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1552 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\18\49-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v18-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v49-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 14052 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\18\49-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v18-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v49-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 1560 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\18\50-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v18-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v50-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 7986 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\18\50-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v18-{04B6AD45-4AD4-4DA8-ADF6-DC65C1FDA9A6}-v50-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 896 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\47\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1 172632 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\47\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2 12252 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\47\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.3 912 bytes hidden from API
C:\Documents and Settings\steph\Local Settings\Application Data\Microsoft\Messenger\vanoo006@hotmail.com\SharingMetadata\yasmineammor@hotmail.com\DFSR\Staging\CS{791FEB7C-3BBF-94D1-C806-8286A90D04AC}\47\47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-{38369F31-A306-43F4-8FF7-41E33C772EA2}-v47-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS 19376 bytes hidden from API

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 28


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\WINDOWS\\SYSTEM32\\javaw.exe"="C:\\WINDOWS\\SYSTEM32\\javaw.exe:*:Disabled:javaw"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Panasonic\\SD-JukeboxV5\\sd-jukebox.exe"="C:\\Program Files\\Panasonic\\SD-JukeboxV5\\sd-jukebox.exe:*:Disabled:SD-JukeboxV5"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Enabled:Azureus"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Panasonic\\SD-JukeboxV5\\sd-jukebox.exe"="C:\\Program Files\\Panasonic\\SD-JukeboxV5\\sd-jukebox.exe:*:Enabled:SD-JukeboxV5"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 7 Nov 2004 56 ..SHR --- "C:\WINDOWS\SYSTEM32\8F0D8A9F49.sys"
Sun 27 Nov 2005 952 A.SH. --- "C:\WINDOWS\SYSTEM32\KGyGaAvL.sys"
Thu 11 Nov 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 26 Nov 2007 25,088 ...H. --- "C:\Documents and Settings\steph\Mes documents\~WRL1823.tmp"
Tue 8 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Mon 5 Feb 2007 28,672 A..H. --- "C:\Documents and Settings\steph\Mes documents\memoire\document interm‚diaire d‚finitif\~WRL0075.tmp"
Mon 5 Feb 2007 37,888 A..H. --- "C:\Documents and Settings\steph\Mes documents\memoire\document interm‚diaire d‚finitif\~WRL3712.tmp"

Finished!
0
Réponse 18 / 21
stephanoue
6 déc. 2007 à 02:09
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:08:04, on 06/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: fdjeux - https://www.fdjeux.net/classes/fdjeux.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://vanoulamaladroite.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f005.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
O16 - DPF: {F5649DF8-6CD6-487C-BDB2-D93E3B3655AC} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/en/web/player/vivid_ocx.jpeg
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - http://192.168.0.100:2000/activex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD7374-DA60-48EB-94E0-2630425443E5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{43B46C0B-E6BA-4898-A1A9-D3668F530CED}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\..\{0616DB25-B40C-4945-BB97-0B8AA57CED65}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\NCS\Sync\NetSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
0
Réponse 19 / 21
stephanoue
6 déc. 2007 à 02:11
bon ba voila j'espere que ca va etre bon et que mon ordi est nettoyé !!En tout cas je te remercie beaucoup de ton aide. Si jamais il faut que je fasse encore quelque chose au vu du dernier raport n'hesite pas à me le dire....

A++
0
Réponse 20 / 21
rudyrital Messages postés 6230 Date d'inscription lundi 14 novembre 2005 Statut Membre Dernière intervention 10 octobre 2009 131
6 déc. 2007 à 22:59
fait un scan ici
https://www.bitdefender.fr/

* En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE
* Dans la nouvelle fenêtre, clique sur j‘accepte
* Accepte le contrôle Active X et Installe le. Le scanner se charge
* La fenêtre change encore, clique sur ’cliquez ici pour scanner’
* Les signatures se chargent, etc.

tuto en image :
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

copie colle le résultat ici
0