Sujet Précédent Sujet Suivant

Virus trojan rqrspoo.dll se reinstalle

Résolu/Fermé
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 - 2 mai 2008 à 23:32
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 - 3 mai 2008 à 17:23
Bonjour,

Voila, j'ai essaye plusieurs trucs pour nettoyer le laptop de mon ami. Les anti-virus en ont enleve pas mal (jamais vu autant > 15000!) alors j'ai utilise avast, antivir, hijackthis, spybot pour les spyware, sdfix de andy manchesta, antivir antiroot kit, et je vais essayer apres a-squared (le tout en safe-mode). En ce moment je roule un scan online par kaspersky. Malgre tout, y a encore des popup de messages publicitaires (des que je lance internet explorer) et avast m'avertit de la presence d'un virus trojan Win32 TratBHO qui n'a pas l'air de vouloir partir...
J'ai comme l'impression que j'utilise le mauvais cocktail d'antvirus. Besoin de votre aide!!!

Je vous remercie d'avance de tout aide que vous pouvez m'apporter.

Voici le dernier rapport hijackthis que j'ai obtenu :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:00:11 PM, on 5/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%2f%3f
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A4AC5231-62AD-42A5-B012-A5601ED5455F} - C:\WINDOWS\system32\ljjihfgh.dll
O2 - BHO: (no name) - {A737B6C2-170C-4E32-B205-893719008E62} - C:\WINDOWS\system32\efcyayvw.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\ted\APPLIC~1\ELSEPL~1\AXISNEW.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly/Images/stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: ljjihfgh - C:\WINDOWS\SYSTEM32\ljjihfgh.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
A voir également:

10 réponses

Réponse 1 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
2 mai 2008 à 23:34
salut,
Télécharger VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Ce déconnecter et fermer toute ces applications le temps de la manipe .

Double cliquer sur VirtumundoBeGone.exe et suivre les instructions.
Une fois terminé, redémarrer le PC, le rapport VBG.TXT sera crée sur le bureau , postes le.
(Si un message Ecran bleu "Erreur fatale" apparaît, pas d’inquiétude car c'est normal et attendu).

puis ensuite, fait un autre scan Hijack et postes le aussi .
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 00:13
Merci pour ton aide. Voici le rapport VBG.txt :

[05/02/2008, 18:08:25] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\ted\Desktop\VirtumundoBeGone.exe" )
[05/02/2008, 18:08:33] - Detected System Information:
[05/02/2008, 18:08:33] - Windows Version: 5.1.2600, Service Pack 2
[05/02/2008, 18:08:33] - Current Username: ted (Admin)
[05/02/2008, 18:08:33] - Windows is in NORMAL mode.
[05/02/2008, 18:08:33] - Searching for Browser Helper Objects:
[05/02/2008, 18:08:33] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/02/2008, 18:08:34] - BHO 2: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[05/02/2008, 18:08:34] - BHO 3: {A4AC5231-62AD-42A5-B012-A5601ED5455F} ()
[05/02/2008, 18:08:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/02/2008, 18:08:34] - Checking for HKLM\...\Winlogon\Notify\ljjihfgh
[05/02/2008, 18:08:34] - Found: HKLM\...\Winlogon\Notify\ljjihfgh - This is probably Virtumundo.
[05/02/2008, 18:08:34] - Assigning {A4AC5231-62AD-42A5-B012-A5601ED5455F} MSEvents Object
[05/02/2008, 18:08:34] - BHO list has been changed! Starting over...
[05/02/2008, 18:08:34] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/02/2008, 18:08:34] - BHO 2: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[05/02/2008, 18:08:34] - BHO 3: {A4AC5231-62AD-42A5-B012-A5601ED5455F} (MSEvents Object)
[05/02/2008, 18:08:34] - ALERT: Found MSEvents Object!
[05/02/2008, 18:08:34] - BHO 4: {A737B6C2-170C-4E32-B205-893719008E62} ()
[05/02/2008, 18:08:34] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/02/2008, 18:08:34] - Checking for HKLM\...\Winlogon\Notify\efcyayvw
[05/02/2008, 18:08:34] - Key not found: HKLM\...\Winlogon\Notify\efcyayvw, continuing.
[05/02/2008, 18:08:34] - Finished Searching Browser Helper Objects
[05/02/2008, 18:08:34] - *** Detected MSEvents Object
[05/02/2008, 18:08:34] - Trying to remove MSEvents Object...
[05/02/2008, 18:08:35] - Terminating Process: IEXPLORE.EXE
[05/02/2008, 18:08:36] - Terminating Process: RUNDLL32.EXE
[05/02/2008, 18:08:36] - Disabling Automatic Shell Restart
[05/02/2008, 18:08:36] - Terminating Process: EXPLORER.EXE
[05/02/2008, 18:08:36] - Suspending the NT Session Manager System Service
[05/02/2008, 18:08:36] - Terminating Windows NT Logon/Logoff Manager
[05/02/2008, 18:08:37] - Re-enabling Automatic Shell Restart
[05/02/2008, 18:08:37] - File to disable: C:\WINDOWS\system32\ljjihfgh.dll
[05/02/2008, 18:08:37] - Renaming C:\WINDOWS\system32\ljjihfgh.dll -> C:\WINDOWS\system32\ljjihfgh.dll.vir
[05/02/2008, 18:08:37] - File successfully renamed!
[05/02/2008, 18:08:37] - Removing HKLM\...\Browser Helper Objects\{A4AC5231-62AD-42A5-B012-A5601ED5455F}
[05/02/2008, 18:08:37] - Removing HKCR\CLSID\{A4AC5231-62AD-42A5-B012-A5601ED5455F}
[05/02/2008, 18:08:37] - Adding Kill Bit for ActiveX for GUID: {A4AC5231-62AD-42A5-B012-A5601ED5455F}
[05/02/2008, 18:08:37] - Deleting ATLEvents/MSEvents Registry entries
[05/02/2008, 18:08:37] - Removing HKLM\...\Winlogon\Notify\ljjihfgh
[05/02/2008, 18:08:37] - Searching for Browser Helper Objects:
[05/02/2008, 18:08:37] - BHO 1: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)
[05/02/2008, 18:08:37] - BHO 2: {9030D464-4C02-4ABF-8ECC-5164760863C6} (Windows Live Sign-in Helper)
[05/02/2008, 18:08:37] - BHO 3: {A737B6C2-170C-4E32-B205-893719008E62} ()
[05/02/2008, 18:08:37] - WARNING: BHO has no default name. Checking for Winlogon reference.
[05/02/2008, 18:08:37] - Checking for HKLM\...\Winlogon\Notify\efcyayvw
[05/02/2008, 18:08:37] - Key not found: HKLM\...\Winlogon\Notify\efcyayvw, continuing.
[05/02/2008, 18:08:37] - Finished Searching Browser Helper Objects
[05/02/2008, 18:08:37] - Finishing up...
[05/02/2008, 18:08:37] - A restart is needed.
[05/02/2008, 18:08:49] - Attempting to Restart via STOP error (Blue Screen!)


Maintenant voici le dernier rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:11:18 PM, on 5/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?redirfallthru=http%3a%2f%2fsympatico.msn.ca%2fdefaultf.aspx%2f%3f
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/spresults.aspx
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A737B6C2-170C-4E32-B205-893719008E62} - C:\WINDOWS\system32\efcyayvw.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\ted\APPLIC~1\ELSEPL~1\AXISNEW.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly/Images/stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 00:49
J'ai préféré l'envoyer comme réponse à ton message. Désolée pour cette petite modif.
0
Réponse 2 / 10
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 00:16
Faut-il que j'utilise combofix d'apres toi? Win32 TratBHO est pas mal recalcitrant!
0
Réponse 3 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 00:25
Yes ... on continu :

Télécharger ComboFix (par sUBs) sur le Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Démarrer en mode sans echec :
Comment aller en Mode sans échec
1) Redémarre ton ordi
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
3) Tu verras un écran avec options de démarrage apparaître
4) Choisis la première option : Sans Échec, et valide avec "Entrée"
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

Double cliquer combofix.exe.

Appuyer sur la touche Y (Yes) pour démarrer le scan
Attention : n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Le rapport sera crée dans: C:\Combofix.txt

(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreur ...)

Redémarre ton PC ( mode normal )
Postes le rapport combo fix et un nouveau rapport hijackthis pour analyse .
0
Réponse 4 / 10
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 00:43
C'est fait et voici le rapport de comboFix :
ComboFix 08-05-01.3 - ted 2008-05-02 18:33:11.1 - [color=red][b]FAT32[/b][/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.374 [GMT -4:00]
Running from: C:\Documents and Settings\ted\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\ted\Application Data\macromedia\Flash Player\#SharedObjects\MRCHPLRP\iforex.com
C:\Documents and Settings\ted\Application Data\macromedia\Flash Player\#SharedObjects\MRCHPLRP\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Documents and Settings\ted\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Documents and Settings\ted\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\deaxrjpi.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\ehgfgjlm.ini
C:\WINDOWS\system32\ehgfgjlm.ini2
C:\WINDOWS\system32\fiiklmoq.ini
C:\WINDOWS\system32\fiiklmoq.ini2
C:\WINDOWS\system32\ipjrxaed.ini
C:\WINDOWS\system32\kmpoqqru.ini
C:\WINDOWS\system32\kmpoqqru.ini2
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oregchkw.ini
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\wvyaycfe.ini
C:\WINDOWS\system32\wvyaycfe.ini2
C:\WINDOWS\system32\yaolbrox.ini
C:\WINDOWS\system32\ydlaqqmh.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_NPF


((((((((((((((((((((((((( Files Created from 2008-04-02 to 2008-05-02 )))))))))))))))))))))))))))))))
.

2008-05-02 16:59 . 2008-05-02 16:59 <DIR> d-------- C:\Program Files\Trend Micro
2008-05-02 16:33 . 2008-05-02 16:33 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-02 16:33 . 2008-05-02 16:33 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-05-02 16:10 . 2008-05-02 16:10 <DIR> d-------- C:\Program Files\Avira GmbH
2008-05-02 15:42 . 2008-05-02 15:42 <DIR> d-------- C:\WINDOWS\ERUNT
2008-05-02 15:37 . 2008-04-29 05:11 <DIR> d-------- C:\SDFix
2008-05-01 09:11 . 2008-05-01 09:11 <DIR> d-------- C:\Program Files\Alwil Software
2008-04-30 12:21 . 2008-04-30 12:25 254 --a------ C:\WINDOWS\wininit.ini
2008-04-30 11:44 . 2008-04-30 11:44 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-30 11:44 . 2008-04-30 11:44 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-30 11:30 . 2008-04-30 11:30 9,722,720 --a------ C:\spybotsd152.exe
2008-04-30 11:28 . 2008-04-30 11:28 <DIR> d-------- C:\Documents and Settings\Administrator
2008-04-30 11:28 . 2008-05-02 18:33 1,024 --ah----- C:\Documents and Settings\Administrator\ntuser.dat.LOG
2008-04-29 14:39 . 2008-04-29 14:39 <DIR> d-------- C:\Program Files\Else plus
2008-04-29 14:31 . 2008-04-29 14:31 <DIR> d--hs---- C:\FOUND.004
2008-04-26 09:19 . 2008-04-26 09:19 88,961 --a------ C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-04-26 09:18 . 2008-04-26 09:18 298,311 --a------ C:\WINDOWS\system32\gside.exe
2008-04-25 22:03 . 2008-04-25 22:03 399,402 --a------ C:\WINDOWS\system32\g21.exe
2008-04-22 17:53 . 2008-04-22 17:53 <DIR> d-------- C:\qrnt
2008-04-20 04:52 . 2008-04-20 04:52 <DIR> d--hs---- C:\FOUND.003
2008-04-19 22:56 . 2008-04-19 22:56 <DIR> d--hs---- C:\FOUND.002
2008-04-18 13:45 . 2008-04-30 14:25 109,738 --a------ C:\WINDOWS\BM313e2b3d.xml
2008-04-18 13:41 . 2008-04-18 13:41 <DIR> d--hs---- C:\FOUND.001
2008-04-18 01:08 . 2008-04-29 14:34 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\WINDOWS\system32\xcsDd18
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\WINDOWS\system32\rco
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\WINDOWS\system32\migNT
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\WINDOWS\system32\inf1
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\Temp\berDrv11
2008-04-18 00:58 . 2008-04-18 00:58 <DIR> d-------- C:\Temp
2008-04-18 00:57 . 2008-04-18 00:57 31,232 --a------ C:\WINDOWS\system32\ljjihfgh.dll.vir
2008-04-12 02:44 . 2008-04-12 02:44 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-04-02 00:54 . 2008-04-02 00:54 <DIR> d-------- C:\Documents and Settings\ted\Application Data\WinMount
2008-04-02 00:54 . 2008-04-02 00:54 <DIR> d-------- C:\Documents and Settings\ted\Application Data\SpinTop
2008-04-02 00:54 . 2008-04-02 00:54 <DIR> d-------- C:\Documents and Settings\ted\Application Data\Poker Tournament Hero
2008-04-02 00:17 . 2008-04-02 00:17 <DIR> d-------- C:\Program Files\FrostWire
2008-04-02 00:17 . 2008-04-02 00:17 <DIR> d-------- C:\Program Files\AskSBar
2008-04-02 00:17 . 2008-04-02 00:17 <DIR> d-------- C:\Documents and Settings\ted\Application Data\FrostWire

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-01 04:39 --------- d-----w C:\Program Files\Monopoly(2)
2008-03-28 17:01 --------- d-----w C:\Program Files\MSN Games
2008-03-27 19:21 774,144 ----a-w C:\Program Files\RngInterstitial.dll
2008-03-27 19:21 --------- d-----w C:\Program Files\Real
2008-03-27 19:21 --------- d-----w C:\Program Files\Common Files\Real
2008-03-27 18:36 316,928 ----a-w C:\WINDOWS\Fonts\rar.exe
2008-03-25 06:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\TEMP
2008-03-19 09:47 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-19 09:47 1,845,248 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-07 20:16 --------- d-----w C:\Program Files\Microsoft.NET
2008-03-07 20:16 --------- d-----w C:\Program Files\Microsoft ActiveSync
2008-03-07 19:59 --------- d-----w C:\Documents and Settings\ted\Application Data\U3
2008-03-07 16:57 --------- d-----w C:\Program Files\Microsoft SQL Server Compact Edition
2008-03-07 16:24 --------- d-sh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-07 16:24 --------- d-----w C:\Program Files\Windows Live
2008-03-07 16:24 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-03-01 22:36 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-02-29 08:55 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-22 10:00 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll
2008-02-20 05:32 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-20 05:32 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-02-20 05:32 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-02-15 05:44 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A737B6C2-170C-4E32-B205-893719008E62}]
C:\WINDOWS\system32\efcyayvw.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00 15360]
"book ante"="C:\DOCUME~1\ted\APPLIC~1\ELSEPL~1\AXISNEW.exe" [2008-04-29 14:39 410112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-07 20:02 94208]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-07 19:59 77824]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-08-11 19:21 200704]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 14:37 79224]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mkdmp3enc"= C:\PROGRA~1\Acer\ACERAR~1\Kernel\Burner\MKDMP3Enc.ACM

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^ted^Start Menu^Programs^Startup^Deewoo.lnk]
path=C:\Documents and Settings\ted\Start Menu\Programs\Startup\Deewoo.lnk
backup=C:\WINDOWS\pss\Deewoo.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^ted^Start Menu^Programs^Startup^DW_Start.lnk]
path=C:\Documents and Settings\ted\Start Menu\Programs\Startup\DW_Start.lnk
backup=C:\WINDOWS\pss\DW_Start.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\320d18a1]
C:\WINDOWS\system32\deaxrjpi.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
--a------ 2005-05-03 18:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AzMixerSel]
--a------ 2005-06-11 19:51 53248 C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM313e2b3d]
C:\WINDOWS\system32\ydlaqqmh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\book ante]
--a------ 2008-04-29 14:39 410112 C:\DOCUME~1\ted\APPLIC~1\ELSEPL~1\AXISNEW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Browse new fork rule]
--a------ 2008-05-02 18:39 1201664 C:\Documents and Settings\All Users\Application Data\Wait Find Browse New\Admin meta.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CaAvTray]
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CAVRID]
C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-04 05:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPM-DM]
--a------ 2005-08-11 19:21 200704 c:\acer\epm\epm-dm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePowerManagement]
--a------ 2005-03-15 10:03 2893824 C:\Acer\ePM\ePM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eRecoveryService]
--a------ 2005-08-18 19:38 352256 C:\Program Files\Acer\eRecovery\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ExploreUpdSched]
C:\WINDOWS\system32\rcntqldn.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--------- 2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 05:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-26 14:42 267064 C:\Program Files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JavaCore]
C:\Program Files\\JavaCore\\JavaCore.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager]
C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSA Shellu]
C:\Documents and Settings\ted\lsass.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-04 05:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--------- 2005-08-11 11:48 143360 C:\Program Files\Acer\Acer Arcade\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 05:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 05:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 C:\Program Files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2005-08-09 15:17 14743552 C:\WINDOWS\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spa_start]
C:\WINDOWS\system32\{9e09b680-d238-2133-a1ed-476f45257ca2}.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-07-07 01:02 68856 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2004-10-08 14:43 688218 C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--a------ 2004-10-08 14:44 98394 C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Twain]
C:\Program Files\Twain\Twain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 16:45 313472 C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{D1-18-80-0E-DW}]
C:\windows\system32\kpwnw64r.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"ose"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"CyberLink Media Library Service"=2 (0x2)
"CLSched"=2 (0x2)
"CLCapSvc"=2 (0x2)
"Apple Mobile Device"=2 (0x2)
"VETMSGNT"=2 (0x2)
"CAISafe"=2 (0x2)
"IDriverT"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Acer\\Acer Arcade\\PCMService.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\iTunes\\LimeWire\\LimeWire.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 14:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 14:35]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 18:08]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58]
R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57]
S3 SNDP610;Dual Mode Camera;C:\WINDOWS\system32\DRIVERS\sndp610.sys [2005-09-27 22:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{667af5a4-ec89-11dc-a247-0013ce0c3514}]
\Shell\AutoRun\command - F:\AutoRun.exe

.
Contents of the 'Scheduled Tasks' folder
"2008-05-02 22:01:14 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE
"2008-05-02 22:00:14 C:\WINDOWS\Tasks\A912C43D91897F8D.job"
- c:\docume~1\ted\applic~1\elsepl~1\Thunkdeafgreat.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 18:38:31
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EVTENG.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\S24EVMON.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\ACER\EMANAGER\ANBMSERV.EXE
C:\PROGRAM FILES\INTEL\WIRELESS\BIN\REGSRVC.EXE
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHDISP.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
.
**************************************************************************
.
Completion time: 2008-05-02 18:40:38 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-02 22:40:32

Pre-Run: 12,752,846,848 bytes free
Post-Run: 12,848,857,088 bytes free

274 --- E O F --- 2008-04-09 17:58:47


Maintenant, celui de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:43:09 PM, on 5/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A737B6C2-170C-4E32-B205-893719008E62} - C:\WINDOWS\system32\efcyayvw.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [book ante] C:\DOCUME~1\ted\APPLIC~1\ELSEPL~1\AXISNEW.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly/Images/stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 00:49
La suite :
1-Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,

C:\WINDOWS\system32\ljjihfgh.dll.vir

et colles-la dans le cadre de gauche de OTMoveIt2 :
Paste standard List of Files/Folders to be moved.

cliques sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.

cliques sur Exit pour fermer.
postes le rapport situé dans C:\\\_OTMoveIt\MovedFiles.

il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas acceptes par "Yes".

2-Vas dans panneau de config/ajout et suppression de prg .
regarde dans la liste si tu trouve un prg comme " CID Help " --->si il s'y trouve , supprime le .

Puis télécharges Lopxp (by Moe) : http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe
-> Double click sur Lopxpsetup.exe pour lancer l'installation
-> Choisis l'option 1
-> Patiente jusqu'à ce qu'on te demande d'appuyer sur une touche.
-> Un rapport sera alors crée, copie/colle le dans ta prochaine réponse ...

J'attend donc ces 2 rapports dans ta prochaine réponse ...
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 01:07
Voici d<abord le premier de OTMoveit :
C:\WINDOWS\system32\ljjihfgh.dll.vir moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05022008_185800


Et maintenant celui de Lopxp :
# Rapport Lopxp fait le Fri 05/02/2008 à 19:04:52
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008

Killing 'iexplore.exe'
"C:\Program Files\Internet Explorer\IEXPLORE.EXE" (2792)

========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

2005-08-16 à 21:03:30 - Microsoft
2005-08-16 à 21:52:52 - CyberLink
2006-02-28 à 11:23:22 - Intel
2006-02-28 à 12:00:42 - Symantec
2006-03-09 à 16:53:06 - BVRP Software
2006-07-22 à 02:26:58 - Windows Genuine Advantage
2006-08-27 à 17:02:50 - Apple Computer
2006-09-12 à 14:14:42 - Google
2006-12-07 à 03:41:58 - Windows Live Toolbar
2006-12-15 à 02:50:54 - CA
2007-02-27 à 15:57:42 - Adobe
2007-07-01 à 15:16:28 - Apple
2007-08-03 à 01:38:58 - Wait Find Browse New
2007-08-03 à 01:39:02 - 01 idol rule wait
2008-03-07 à 16:24:06 - WLInstaller
2008-03-25 à 06:07:56 - TEMP
2008-04-30 à 15:44:26 - Spybot - Search & Destroy
2008-05-02 à 20:33:26 - Kaspersky Lab

+- C:\Documents and Settings\ted\Application Data

2005-08-16 à 21:16:04 - Identities
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:03:32 - Microsoft
2006-02-28 à 12:00:52 - Symantec
2006-02-28 à 13:24:24 - Macromedia
2006-03-08 à 18:33:48 - AdobeUM
2006-03-25 à 18:21:32 - CyberLink
2006-04-09 à 17:58:14 - Google
2006-04-09 à 17:58:22 - Sun
2006-07-24 à 18:36:42 - Help
2006-08-27 à 17:04:38 - Apple Computer
2007-03-21 à 18:44:32 - .wyzo
2008-03-07 à 19:59:48 - U3
2008-04-02 à 04:17:54 - FrostWire
2008-04-02 à 04:54:26 - WinMount
2008-04-02 à 04:54:28 - Poker Tournament Hero
2008-04-02 à 04:54:32 - SpinTop
2008-04-02 à 04:54:34 - WinRAR

+- C:\Documents and Settings\ted\Local Settings\Application Data

2005-08-16 à 21:52:56 - Acer Arcade
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:11:34 - Microsoft
2006-03-09 à 16:53:06 - BVRP Software
2006-04-09 à 17:58:14 - Google
2006-04-16 à 08:03:54 - Powercinema
2006-07-24 à 18:36:42 - Help
2006-08-07 à 05:22:04 - Identities
2006-08-27 à 17:04:38 - Apple Computer
2006-09-29 à 13:28:12 - WMTools Downloaded Files
2007-03-21 à 18:44:32 - Wyzo
2007-07-19 à 02:51:38 - Apple
2008-03-07 à 16:43:28 - PCHealth

+- C:\Documents and Settings\Administrator\Application Data

2005-08-16 à 21:16:04 - Identities
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:03:32 - Microsoft
2008-04-30 à 15:30:06 - Macromedia

+- C:\Documents and Settings\Administrator\Local Settings\Application Data

2005-08-16 à 21:52:56 - Acer Arcade
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:11:34 - Microsoft

========== Listing du dossier Program Files

+- C:\Program Files

2005-08-16 à 21:04:02 - Common Files
2005-08-16 à 21:08:30 - Windows NT
2005-08-16 à 21:08:32 - MSN
2005-08-16 à 21:08:44 - MSN Gaming Zone
2005-08-16 à 21:08:46 - Messenger
2005-08-16 à 21:08:56 - Windows Media Player
2005-08-16 à 21:08:56 - Online Services
2005-08-16 à 21:09:28 - ComPlus Applications
2005-08-16 à 21:09:48 - Internet Explorer
2005-08-16 à 21:09:52 - Outlook Express
2005-08-16 à 21:09:52 - NetMeeting
2005-08-16 à 21:09:56 - Movie Maker
2005-08-16 à 21:10:30 - WindowsUpdate
2005-08-16 à 21:11:52 - microsoft frontpage
2005-08-16 à 21:11:52 - xerox
2005-08-16 à 21:16:02 - Uninstall Information
2005-08-16 à 21:17:48 - InstallShield Installation Information
2005-08-16 à 21:18:38 - Intel
2005-08-16 à 21:21:54 - Realtek
2005-08-16 à 21:22:32 - CONEXANT
2005-08-16 à 21:24:12 - Synaptics
2005-08-16 à 21:25:42 - Acer Inc
2005-08-16 à 21:26:12 - Adobe
2005-08-16 à 21:27:54 - NewTech Infosystems
2005-08-16 à 21:49:06 - CyberLink
2005-08-16 à 21:52:24 - Acer
2006-02-28 à 11:23:12 - WinPCap
2008-04-30 à 15:44:26 - Spybot - Search & Destroy
2008-05-02 à 20:10:14 - Avira GmbH
2006-02-28 à 12:01:18 - Norton AntiVirus
2006-02-28 à 13:46:54 - PhoTags Express
2008-05-02 à 20:59:52 - Trend Micro
2008-05-02 à 23:03:56 - Lopxp
2008-05-01 à 13:11:10 - Alwil Software
2006-03-02 à 07:14:42 - Java
2006-03-13 à 20:39:34 - PokerStars.NET
2006-04-09 à 17:58:14 - Google
2006-07-22 à 06:14:12 - MsnMusic
2006-07-26 à 08:04:06 - PartyGaming.Net
2006-08-27 à 17:01:50 - iPod
2006-08-27 à 17:03:24 - iTunes
2006-08-27 à 17:35:28 - Incomplete
2006-09-29 à 12:31:12 - Microsoft Office
2006-09-29 à 13:19:20 - Yahoo!
2006-10-12 à 22:50:12 - Yahoo! Games
2006-10-12 à 22:50:40 - TryMedia
2006-11-01 à 02:03:56 - Apple Software Update
2006-11-15 à 05:58:08 - MSXML 4.0
2006-11-21 à 21:14:50 - PartyGaming
2006-12-07 à 03:41:22 - Windows Live Toolbar
2007-03-19 à 17:58:38 - QuickTime
2007-04-21 à 04:33:44 - LimeWire
2007-05-10 à 13:26:38 - Microsoft CAPICOM 2.1.0.2
2007-06-05 à 19:41:54 - PokerStars
2008-03-07 à 16:24:22 - Windows Live
2008-03-07 à 16:57:48 - Microsoft SQL Server Compact Edition
2008-03-07 à 20:16:24 - Microsoft ActiveSync
2008-03-07 à 20:16:32 - Microsoft.NET
2008-03-27 à 19:21:42 - Real
2008-03-28 à 17:01:04 - MSN Games
2008-04-01 à 04:39:50 - Monopoly(2)
2008-04-02 à 04:17:42 - AskSBar
2008-04-02 à 04:17:44 - FrostWire

========== Tâches planifiées

Check Updates for Windows Live Toolbar.job: C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE

========== Clés registre


========== Bloqueur popups Internet Explorer

www.google.com
PopupMgr

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

C:\Documents and Settings\All Users\Application Data\Wait Find Browse New
C:\Documents and Settings\All Users\Application Data\01 idol rule wait

+- Registre : Aucune suggestion.


- Fin du rapport -


J'espere que cette fois-ci c'est la bonne :-)
0
Réponse 6 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 00:54
Yo ... tu as posté 2 fois la même chose ;)
Fais bien ce-ci : http://www.commentcamarche.net/forum/affich 6228058 virus trojan rqrspoo dll se reinstalle#6
0
Réponse 7 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 01:18
1ere ETAPE :
Aller dans : Démarrer > Exécuter puis copie/colle la ligne suivante :

"%programfiles%\Lopxp\Lopxp.bat" /Fixme

---> puis valide, et laisse toi guider

il te seras demandé de valider ou de refuser la suppression des fichiers suivants :
(Pour chaque fichier, il faudra accepter ( appuyer sur la touche y ) ou refuser ( appuyer sur la touche n ) la suppression ).

C:\Documents and Settings\All Users\Application Data\Wait Find Browse New ---> Y
C:\Documents and Settings\All Users\Application Data\01 idol rule wait ---> Y

pour info : Les sauvegardes de chaque suppression seront stockées dans le dossier C:\Programfiles\Lopxp\Sauvegardes --->postes ce rapport .

2eme ETAPE :
Télécharges : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .lors de l'instalation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" saufe les 2 première.
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

Utilisation:
vas dans nettoyeur : fait annalyse puis nettoyage
et vas dans registre : fait chercher les erreurs et réparer ( plusieur fois jusqu'a ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

Redémarre ton PC

3emme ETAPE :
Refais un scan Hijackthis et postes le dernier rapport pour contrôler ...
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 01:40
Alors voici le rapport de Lopxp :
# Rapport Lopxp fait le Fri 05/02/2008 à 19:19:56
# Exécuté dans : C:\Program Files\Lopxp
# Version 3.10 - Maj du 11/04/2008


========== FixLog ==========


+- C:\Documents and Settings\All Users\Application Data\Wait Find Browse New
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- C:\Documents and Settings\All Users\Application Data\01 idol rule wait
Choix utilisateur : Suppression acceptée.
Déplacé avec succès.

+- Fichiers temporaires :
Nettoyage effectué.


========== Listing des dossiers Application Data

+- C:\Documents and Settings\All Users\Application Data

2005-08-16 à 21:03:30 - Microsoft
2005-08-16 à 21:52:52 - CyberLink
2006-02-28 à 11:23:22 - Intel
2006-02-28 à 12:00:42 - Symantec
2006-03-09 à 16:53:06 - BVRP Software
2006-07-22 à 02:26:58 - Windows Genuine Advantage
2006-08-27 à 17:02:50 - Apple Computer
2006-09-12 à 14:14:42 - Google
2006-12-07 à 03:41:58 - Windows Live Toolbar
2006-12-15 à 02:50:54 - CA
2007-02-27 à 15:57:42 - Adobe
2007-07-01 à 15:16:28 - Apple
2008-03-07 à 16:24:06 - WLInstaller
2008-03-25 à 06:07:56 - TEMP
2008-04-30 à 15:44:26 - Spybot - Search & Destroy
2008-05-02 à 20:33:26 - Kaspersky Lab

+- C:\Documents and Settings\ted\Application Data

2005-08-16 à 21:16:04 - Identities
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:03:32 - Microsoft
2006-02-28 à 12:00:52 - Symantec
2006-02-28 à 13:24:24 - Macromedia
2006-03-08 à 18:33:48 - AdobeUM
2006-03-25 à 18:21:32 - CyberLink
2006-04-09 à 17:58:14 - Google
2006-04-09 à 17:58:22 - Sun
2006-07-24 à 18:36:42 - Help
2006-08-27 à 17:04:38 - Apple Computer
2007-03-21 à 18:44:32 - .wyzo
2008-03-07 à 19:59:48 - U3
2008-04-02 à 04:17:54 - FrostWire
2008-04-02 à 04:54:26 - WinMount
2008-04-02 à 04:54:28 - Poker Tournament Hero
2008-04-02 à 04:54:32 - SpinTop
2008-04-02 à 04:54:34 - WinRAR

+- C:\Documents and Settings\ted\Local Settings\Application Data

2005-08-16 à 21:52:56 - Acer Arcade
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:11:34 - Microsoft
2006-03-09 à 16:53:06 - BVRP Software
2006-04-09 à 17:58:14 - Google
2006-04-16 à 08:03:54 - Powercinema
2006-07-24 à 18:36:42 - Help
2006-08-07 à 05:22:04 - Identities
2006-08-27 à 17:04:38 - Apple Computer
2006-09-29 à 13:28:12 - WMTools Downloaded Files
2007-03-21 à 18:44:32 - Wyzo
2007-07-19 à 02:51:38 - Apple
2008-03-07 à 16:43:28 - PCHealth

+- C:\Documents and Settings\Administrator\Application Data

2005-08-16 à 21:16:04 - Identities
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:03:32 - Microsoft
2008-04-30 à 15:30:06 - Macromedia

+- C:\Documents and Settings\Administrator\Local Settings\Application Data

2005-08-16 à 21:52:56 - Acer Arcade
2005-08-16 à 22:17:42 - Adobe
2005-08-16 à 21:11:34 - Microsoft

========== Listing du dossier Program Files

+- C:\Program Files

2005-08-16 à 21:04:02 - Common Files
2005-08-16 à 21:08:30 - Windows NT
2005-08-16 à 21:08:32 - MSN
2005-08-16 à 21:08:44 - MSN Gaming Zone
2005-08-16 à 21:08:46 - Messenger
2005-08-16 à 21:08:56 - Windows Media Player
2005-08-16 à 21:08:56 - Online Services
2005-08-16 à 21:09:28 - ComPlus Applications
2005-08-16 à 21:09:48 - Internet Explorer
2005-08-16 à 21:09:52 - Outlook Express
2005-08-16 à 21:09:52 - NetMeeting
2005-08-16 à 21:09:56 - Movie Maker
2005-08-16 à 21:10:30 - WindowsUpdate
2005-08-16 à 21:11:52 - microsoft frontpage
2005-08-16 à 21:11:52 - xerox
2005-08-16 à 21:16:02 - Uninstall Information
2005-08-16 à 21:17:48 - InstallShield Installation Information
2005-08-16 à 21:18:38 - Intel
2005-08-16 à 21:21:54 - Realtek
2005-08-16 à 21:22:32 - CONEXANT
2005-08-16 à 21:24:12 - Synaptics
2005-08-16 à 21:25:42 - Acer Inc
2005-08-16 à 21:26:12 - Adobe
2005-08-16 à 21:27:54 - NewTech Infosystems
2005-08-16 à 21:49:06 - CyberLink
2005-08-16 à 21:52:24 - Acer
2006-02-28 à 11:23:12 - WinPCap
2008-04-30 à 15:44:26 - Spybot - Search & Destroy
2008-05-02 à 20:10:14 - Avira GmbH
2006-02-28 à 12:01:18 - Norton AntiVirus
2006-02-28 à 13:46:54 - PhoTags Express
2008-05-02 à 20:59:52 - Trend Micro
2008-05-02 à 23:03:56 - Lopxp
2008-05-01 à 13:11:10 - Alwil Software
2006-03-02 à 07:14:42 - Java
2006-03-13 à 20:39:34 - PokerStars.NET
2006-04-09 à 17:58:14 - Google
2006-07-22 à 06:14:12 - MsnMusic
2006-07-26 à 08:04:06 - PartyGaming.Net
2006-08-27 à 17:01:50 - iPod
2006-08-27 à 17:03:24 - iTunes
2006-08-27 à 17:35:28 - Incomplete
2006-09-29 à 12:31:12 - Microsoft Office
2006-09-29 à 13:19:20 - Yahoo!
2006-10-12 à 22:50:12 - Yahoo! Games
2006-10-12 à 22:50:40 - TryMedia
2006-11-01 à 02:03:56 - Apple Software Update
2006-11-15 à 05:58:08 - MSXML 4.0
2006-11-21 à 21:14:50 - PartyGaming
2006-12-07 à 03:41:22 - Windows Live Toolbar
2007-03-19 à 17:58:38 - QuickTime
2007-04-21 à 04:33:44 - LimeWire
2007-05-10 à 13:26:38 - Microsoft CAPICOM 2.1.0.2
2007-06-05 à 19:41:54 - PokerStars
2008-03-07 à 16:24:22 - Windows Live
2008-03-07 à 16:57:48 - Microsoft SQL Server Compact Edition
2008-03-07 à 20:16:24 - Microsoft ActiveSync
2008-03-07 à 20:16:32 - Microsoft.NET
2008-03-27 à 19:21:42 - Real
2008-03-28 à 17:01:04 - MSN Games
2008-04-01 à 04:39:50 - Monopoly(2)
2008-04-02 à 04:17:42 - AskSBar
2008-04-02 à 04:17:44 - FrostWire

========== Tâches planifiées

Check Updates for Windows Live Toolbar.job: C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE

========== Clés registre


========== Bloqueur popups Internet Explorer

www.google.com
PopupMgr

========== Suggestion ( /!\ Nécessite une interprétation.) ==========

+- Dossiers\Fichiers : Aucune suggestion.

+- Registre : Aucune suggestion.


- Fin du rapport -


Et maintenant, celui de hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:34:37 PM, on 5/2/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\acer\epm\epm-dm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\internet explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.ca/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bing.com/spresults.aspx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A737B6C2-170C-4E32-B205-893719008E62} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra 'Tools' menuitem: PartyGammon.com - {59A861EE-32B3-42cd-8CCA-FC130EDF3A44} - C:\Program Files\PartyGaming\PartyGammon\RunBackGammon.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/Monopoly/Images/stg_drm.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by101fd.bay101.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/Monopoly/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 8 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 01:53
Nickel ! Un log hijackthis propre !
Si tu n'as plus de souci , et seulement si , fait ce qui suis

1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
tu peux, si tu le souhaites, te servir des Options facultatives

se petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection ( tu n'en as plus besion ! ) .
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolsclaener2 n'a pas supprimé .

Puis enfin supprimes Toolscleaner2 ...

( gardes CCleaner bien sur ... )

2- Avast tout seul , c'est un peut light , il faut le coupler avec un anti spyware .
Je te conseil fortement celui-ci :
Spybot search and destroy (version complète et gratuite)
https://www.safer-networking.org/?page=download
(instales le , mets le à jour et lance "la vaccination"--->vaccines tant que le compteur "Non protégé" n'arrive pas à 0 )

Aide pour utilisation Spybot ici (merci Balltrap ;) ) : http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

Lances une "recherche" :
une fois le scan terminé, vérifies que tout ce qu'il a trouvé (surtout ce qui est en rouge) soit valider puis fait "corriger les prb" .
PS : dans certains cas, il te sera demander de planifier la suite des "corrections" au redémarrage du PC , acceptes .
(Puis pour finioller, un petit coup de CCleaner derrière ... )

Alors ...verdicte ... plus de prb ?
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 02:11
Un grand merci sKe69! Je ne m'attendais pas a autant de rapidite dans les reponses. En tout cas, je suis bien chanceuse.

J'attends toujours que Spybot (il etait deja sur le laptop, je ne l'ai pas au demarrage c'est pour ca.. mais je vais y remedier) finisse son scan. Mais je crois bien qu'il n y a plus de problemes ouf!

Merci!!
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463 > CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011
3 mai 2008 à 02:15
Content d'avoir pu te rendre service =)

PS : Une fois que tu es sure que ton PC est sain , fait un petit chekup , cela lui fera du bien.
Voilà la manipe :
1-Restauration système
*Désactive ta restauration
Cliques droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC
*Réactive ta restauration
Cliques droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC


2-Nettoyage et Défragmentation de tes Disques
*Nettoyage :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Cliques sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques

*Vérifications des erreurs :
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases :
-réparer automatiquement les erreurs...
-rechercher et tenter une récupération...
--->Démarrer, ok
Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis :
*Défragmentation :
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques

Bonne continuation à toi

A+
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2 > sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012
3 mai 2008 à 02:21
Ok Merci pour les conseils, je veillerai a faire ce petit checkup.
En tout cas, c'est clair qu'un bon petit formatage aurait ete plus rapide.

Bonne soiree!
0
Réponse 9 / 10
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 463
3 mai 2008 à 02:29
c'est clair qu'un bon petit formatage aurait ete plus rapide
formatage ?! pas le style de la maison ... ;)

Tchouss ....
0
CtrlAltSuppr Messages postés 53 Date d'inscription jeudi 27 septembre 2007 Statut Membre Dernière intervention 7 janvier 2011 2
3 mai 2008 à 17:23
Un petit update sur la situation. Spybot n'a trouvé aucun spyware ou autre. Le pc est clean et j'ai complété le petit checkup que tu m'as conseillé. Je te remercie, car je me suis engagée (bêtement ;-P) auprès de mon ami pour nettoyer son laptop sans avoir à le formater et je dois dire que ça m'a rendu un peu chèvre quand j'ai vu que le virus réapparaissait.
Je constate, en tout cas, qu'il a dû naviguer dans des sites louches pour avoir autant de virus...

Ok, verdicte PC ultra clean :-)
0
Réponse 10 / 10
merlin
3 mai 2008 à 03:43
Depuis quelque jour il y as un logo au couleur de windows qui se nom antiverus 2008 es-ce que quelqu'un connait
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses