Virus msn "C'est toi!!??"

Résolu/Fermé

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 - 22 janv. 2008 à 21:41
g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 - 16 févr. 2008 à 00:02

Bonjour à tous,

j'ai lu le topic où Herri avait le même problème que moi c'est à dire le virus msn qui dit "C'est toi?!". Du coup j'ai fais un SDFIx rapport que voici :

SDFix: Version 1.130

Run by dior on 22/01/2008 at 20:42

Microsoft Windows XP [version 5.1.2600]

Running From: C:\DOCUME~1\MARION~1\MESDOC~1\LOGICIEL\SDFix

Safe Mode:
Checking Services:

Name:
ldrsvc
runtime

Path:
%SystemRoot%\System32\svchost.exe -k netsvcs
\??\C:\WINDOWS\System32\drivers\runtime.sys

ldrsvc - Deleted
runtime - Deleted

Infected ip6fw.sys Found!

ip6fw.sys File Locations:

"C:\WINDOWS\system32\dllcache\ip6fw.sys" 29056 05/08/2004 19:00
"C:\WINDOWS\system32\drivers\ip6fw.sys" 29056 05/08/2004 19:00

Infected File Listed Below:

C:\WINDOWS\system32\drivers\ip6fw.sys

File copied to Backups Folder
Attempting to replace ip6fw.sys with original version...

Original ip6fw.sys Restored

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\-10025~1 - Deleted
C:\TUWWP.EXE - Deleted
C:\Program Files\Dot1XCfg\Dot1XCfg.exe - Deleted
C:\Program Files\Helper\superfindout.dll - Deleted
C:\Program Files\Temporary\kernInst.exe - Deleted
C:\d.exe - Deleted
C:\WINDOWS\17PHolmes1148.exe - Deleted
C:\WINDOWS\b122.exe - Deleted
C:\WINDOWS\Downloaded Program Files\UDC6V_0001_D19M0709NetInstaller.exe - Deleted
C:\WINDOWS\mrofinu1148.exe - Deleted
C:\WINDOWS\mrofinu1148.exe.tmp - Deleted
C:\DOCUME~1\dior\LOCALS~1\Temp\services.exe - Deleted

Folder C:\Program Files\Dot1XCfg - Removed
Folder C:\Program Files\Helper - Removed
Folder C:\Program Files\Temporary - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-22 21:10:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\astq]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\astq.tga"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\astq\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\00025b010af1]
"0017d536eb4d"=hex:6a,0e,99,f8,5f,5d,d1,1a,70,18,31,a8,9f,64,74,b2
"0016db0258af"=hex:d6,0c,87,9f,2c,ff,bb,c5,ac,5d,ef,29,a1,79,b9,c9
"0018131d39cd"=hex:ed,2c,b5,78,89,f7,56,e8,c7,99,1c,54,d6,2c,8b,27
"0005c9455f54"=hex:33,c2,86,cf,4f,94,04,f4,b4,a2,53,03,d4,fa,77,79
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ztx86]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\ztx86.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ztx86\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\astq]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\drivers\astq.tga"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\astq\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\00025b010af1]
"0017d536eb4d"=hex:6a,0e,99,f8,5f,5d,d1,1a,70,18,31,a8,9f,64,74,b2
"0016db0258af"=hex:d6,0c,87,9f,2c,ff,bb,c5,ac,5d,ef,29,a1,79,b9,c9
"0018131d39cd"=hex:ed,2c,b5,78,89,f7,56,e8,c7,99,1c,54,d6,2c,8b,27
"0005c9455f54"=hex:33,c2,86,cf,4f,94,04,f4,b4,a2,53,03,d4,fa,77,79
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ztx86]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\ztx86.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ztx86\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xd8\x2022\x20ac|\xff\xff\xff\xff\22\x2022\x20ac|\xf9\x20229~\2]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000009a
"TracesSuccessful"=dword:00000003

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 52

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe:*:Enabled:hposid01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Ma‹do Production\\IziSpot 4\\IziSpot.exe"="C:\\Program Files\\Ma‹do Production\\IziSpot 4\\IziSpot.exe:*:Enabled:IziSpot"
"C:\\Documents and Settings\\dior\\Local Settings\\Temporary Internet Files\\Content.IE5\\2QOBTNID\\incredimail_install[1].exe"="C:\\Documents and Settings\\dior\\Local Settings\\Temporary Internet Files\\Content.IE5\\2QOBTNID\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
"C:\\Documents and Settings\\dior\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\incredimail_install[1].exe"="C:\\Documents and Settings\\dior\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Ares\\Ares.exe"="C:\\Program Files\\Ares\\Ares.exe:*:Enabled:Ares p2p for windows"
"C:\\Program Files\\AOL 9.0\\waol.exe"="C:\\Program Files\\AOL 9.0\\waol.exe:*:Disabled:AOL France"
"C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare Applications\\BearShare\\BearShare.exe:*:Disabled:BearShare"
"C:\\Program Files\\eDonkey2000\\edonkey2000.exe"="C:\\Program Files\\eDonkey2000\\edonkey2000.exe:*:Disabled:edonkey2000"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Disabled:eMule"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Disabled:LimeWire"
"C:\\StubInstaller.exe"="C:\\StubInstaller.exe:*:Disabled:LimeWire swarmed installer"
"C:\\Program Files\\Shareaza\\Shareaza.exe"="C:\\Program Files\\Shareaza\\Shareaza.exe:*:Enabled:Shareaza"
"C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"="C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe:*:Disabled:Sunbelt Firewall GUI"
"C:\\Program Files\\OrangeHSS\\Browser\\Browser.exe"="C:\\Program Files\\OrangeHSS\\Browser\\Browser.exe:*:Disabled:Browser"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\DOCUME~1\\dior\\LOCALS~1\\Temp\\services.exe"="C:\\DOCUME~1\\dior\\LOCALS~1\\Temp\\services.exe:*:Enabled:Flash Player2"
"C:\\WINDOWS\\system32\\svchost.exe"="C:\\WINDOWS\\system32\\svchost.exe:*:Enabled:svchost"
"C:\\Program Files\\Lavasoft\\Ad-Aware 2007\\Ad-Aware2007.exe"="C:\\Program Files\\Lavasoft\\Ad-Aware 2007\\Ad-Aware2007.exe:*:Enabled:Ad-Aware 2007"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files:
---------------
C:\Program Files\Helper\superfindout.dll Found

File Backups: - C:\DOCUME~1\MARION~1\MESDOC~1\LOGICIEL\SDFix\backups\backups.zip

Files with Hidden Attributes:

Fri 23 Jun 2006 218 A.SHR --- "C:\BOOT.BAK"
Sat 1 Apr 2006 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.SYS"
Sun 25 Jun 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 28 Jun 2001 1,679,360 A..H. --- "C:\Program Files\Ulead Systems\Ulead GIF Animator 5\ga_main.exe"
Mon 26 Feb 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 12 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4633c51c90c17af214c8eeab40b9fcf4\BITED.tmp"
Tue 11 Sep 2007 62,976 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 07-08\AMELIORATION DES MOYENS DE COMS\~WRL0002.tmp"
Thu 19 Apr 2007 29,696 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL1374.tmp"
Thu 19 Apr 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL1410.tmp"
Thu 19 Apr 2007 29,696 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL3801.tmp"
Sat 14 Apr 2007 25,600 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ABI OFFICIELLE\PUBLISHER\Affiche informative. Publisher\~WRL3540.tmp"
Mon 22 Jan 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL0621.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1274.tmp"
Mon 22 Jan 2007 21,504 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1572.tmp"
Mon 22 Jan 2007 20,480 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL2287.tmp"
Mon 22 Jan 2007 23,040 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3444.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3618.tmp"
Mon 22 Jan 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL0621.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1274.tmp"
Mon 22 Jan 2007 21,504 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1572.tmp"
Mon 22 Jan 2007 20,480 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL2287.tmp"
Mon 22 Jan 2007 23,040 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3444.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3618.tmp"
Tue 11 Sep 2007 62,976 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 07-08\AMELIORATION DES MOYENS DE COMS\~WRL0002.tmp"
Thu 19 Apr 2007 29,696 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL1374.tmp"
Thu 19 Apr 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL1410.tmp"
Thu 19 Apr 2007 29,696 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\PAUL\~WRL3801.tmp"
Mon 22 Jan 2007 19,968 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL0003.tmp"
Mon 22 Jan 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL0621.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL1274.tmp"
Mon 22 Jan 2007 21,504 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL1572.tmp"
Mon 22 Jan 2007 20,480 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL2287.tmp"
Mon 22 Jan 2007 23,040 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL3444.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CPAP SIMULAGE\~WRL3618.tmp"
Mon 22 Jan 2007 25,600 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\MARION\CV + LETTRE MOTIVATION\~WRL0001.tmp"
Sat 14 Apr 2007 25,600 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ABI OFFICIELLE\PUBLISHER\Affiche informative. Publisher\~WRL3540.tmp"
Mon 22 Jan 2007 24,064 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL0621.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1274.tmp"
Mon 22 Jan 2007 21,504 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL1572.tmp"
Mon 22 Jan 2007 20,480 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL2287.tmp"
Mon 22 Jan 2007 23,040 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3444.tmp"
Mon 22 Jan 2007 61,952 A..H. --- "C:\Documents and Settings\marionette\Mes documents\PME PMI\TOTALITE CLE USB\ANNEE 06-07\ACTIONS OFFICIELLES\SIMUL'AGE\CPAP\~WRL3618.tmp"

Finished!

De plus, mon pare-feu se desactive tout seul, je le remets sans cesse. mais le pare feu qu'il m'indique je l'ai désinstallé (mal je pense) il y a un moment...

Help me please :)

A voir également:

Virus msn "C'est toi!!??"
Msn - Télécharger - Messagerie
Svchost.exe virus - Guide
Msn actu - Télécharger - Médias et Actualité
Youtu.be virus - Guide
Operagxsetup virus ✓ - Forum Virus

159 réponses

Réponse 81 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
29 janv. 2008 à 16:35

re,

ouvre a nouveau icesword > double-clique sur icesword.exe

Choisis la fonction "file" en bas à gauche. Par l'arboressence fournie, choisis ce fichier :

C:\WINDOWS\system32\iphttphl4.dll

Fais un clic droit dessus et choisis "delete".

Choisis le bouton "function" puis le bouton BHO. Fais un clic droit sur cette BHO et choisis delete :
{FC7FF7DC-C5F6-D3CA-D1F2-CD9E1FC437EB}

dis moi quoi

@+

Réponse 82 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
29 janv. 2008 à 17:33

Je dois effacer cela ({FC7FF7DC-C5F6-D3CA-D1F2-CD9E1FC437EB} ) après ?

Réponse 83 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
29 janv. 2008 à 17:40

Je ne le vois pas... Je suis allée dans Windows mais je n'ai pas le system32..

Réponse 84 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
29 janv. 2008 à 18:09

re,

ca ne fonctionne pas avec icesword ?

tu as obligatoirement le system 32

fais ceci peut etre pour le voir :

Désactive ta restauration système:
pour cela :
Click droit sur poste de travail, dans l´arborescence sur propriétés;
dans la nouvelle fenettre click sur l´onglet restauration système;
coche la case désactiver la restauration systèm et applique.
puis redemarre le pc et click droit sur poste de travail, dans l´arborescence sur propriétés;
dans la nouvelle fenettre click sur l´onglet restauration systèm
décoche la case désactiver la restauration systèm et applique.

@+

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 85 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
29 janv. 2008 à 21:12

Elle n'est pas activée... j'ai cherché mais je ne trouve pas ce système 32... je t'envoie la capture par message privé

Réponse 86 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
29 janv. 2008 à 22:00

re,

oui j´ai vu ta capture d´ecran, si tu developpe le dossier windows dans icesword tu ne voie toujours pas system32?

@´+

Réponse 87 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
30 janv. 2008 à 23:04

Non, comme tu as pu le voir j'avais déja cliqué sur le dossier sans résultat...

Réponse 88 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
30 janv. 2008 à 23:14

re,

on va essayer comme ceci :

# Télécharge DiagHelp sur ton bureau:

http://www.malekal.com/download/DiagHelp.zip

# Décompresse l'archive sur ton bureau
# Dans le dossier DiagHelp que tu viens d'extraire, double-clique sur catchme.exe
# Deux fenêtres vont s'ouvrir: dans celle qui est grise, va dans l'onglet "script"
# Copie-colle ce texte dans l'onglet "script":

files to kill:
C:\WINDOWS\system32\iphttphl4.dll

* Clique sur "run"
* Redémarre le PC
* Une fois redémarré repost un rapport hijack this stp

@+

Réponse 89 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
30 janv. 2008 à 23:27

Il me dise qu'il ne trouve pas le fichier...

Réponse 90 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
30 janv. 2008 à 23:29

On a touché à quelque chose qu'il ne fallait pas... ?

Réponse 91 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 00:06

re,

oui c´est un peut ce que je me disait...

le probleme c´est qu´il reste la cle de registre;

On a touché à quelque chose qu'il ne fallait pas... ?

non;

comment va ton pc a part ca?

@+

Réponse 92 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
31 janv. 2008 à 11:30

Re,

Ben de nouvelles attaques de chevaux de troie, hier un peu lent à s'éteindre, la connexion se déconnecte souvent sans raison...

Réponse 93 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 15:43

salut helpmei34,

t´es t-il possible de reesayer combofix stp

Télécharge combofix.exe (par sUBs) sur ton Bureau.

-> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Note2 : pendant le scan deconecte toi du net /coupe la connection; eteinds tes protections > antivirus / par feu et ne touche a rien meme pas a la sourie.

dis moi quoi ou post le rapport ici stp

@+

Réponse 94 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
31 janv. 2008 à 16:54

Je me suis trompée d'icone j'ai fait un comboscan je crois, je poste quand même le rappport:

Deckard's System Scanner v20071014.68
Run by dior on 2008-01-31 16:52:30
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- HijackThis (run as dior.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52, on 2008-01-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe
C:\Program Files\Ares\Ares.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
c:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\dior\Bureau\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\dior.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll (file missing)
O2 - BHO: (no name) - {FC7FF7DC-C5F6-D3CA-D1F2-CD9E1FC437EB} - C:\WINDOWS\system32\iphttphl4.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [HPHUPD08] c:\Program Files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\OrangeHSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - S-1-5-18 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')
O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE
O4 - Global Startup: ffdshow
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

Réponse 95 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 16:56

re,

oui je voie ca,

peux tu essayer de faire combofix stp

@+

Réponse 96 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
31 janv. 2008 à 17:02

Oui je suis entrain de le faire :)

Réponse 97 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
31 janv. 2008 à 17:14

Toujours rien.. Y a quand même tu mieux car il ne fait plus buger l'ordi à la fin du compte rendu...

Réponse 98 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 18:29

re,

tu n´arrives pas a poster le rapport?

c:\combofix.txt

@+

Réponse 99 / 159

Helpmei34 Messages postés 125 Date d'inscription mardi 22 janvier 2008 Statut Membre Dernière intervention 9 mars 2009 1
31 janv. 2008 à 19:21

Je suis allée dans "exéxuter" pour chercher le rapport et ils me disent qu'ils n'ont rien..

Réponse 100 / 159

g!rly Messages postés 18209 Date d'inscription vendredi 17 août 2007 Statut Contributeur Dernière intervention 30 novembre 2014 406
31 janv. 2008 à 19:46

c´est le chemin du fichier
pas a faire dans executer
@+

Discussions similaires

Est ce que le site tlauncher est dangereux ?

symboles et écritures pour nick msn

Peut on retrouver des conversations MSN?

Comment savoir si j'ai attrapé un virus sur mon téléphone ?

impossible de me connecter a msn hotmail

Discussions similaires

Newsletters