Bonjour
 
J'aurais aimé pécher par originalité et dire que non tout va bien... mais voilà : j'ai de nouveaux copains. Vous les connaissez bien apparemment : ils s'appelent...
- maxifiles
- virtumonde
- trojan agent winlogonhook
- dollarrevenue
- toolbar888
- security2k hijacker
 
Bref... tout ca pour dire qu'ils sont sympa mais qu'ils tapent un peu l'incruste. Comment faire pour les virer ? Naturellement, je suis un naze en informatique et je me retrouve tout con. J'ai télécharger spysweeper qui me les repère mais qui apparemment ne les vire pas. Problême critique et liés : mon graveur DVD n'est plus reconnu, des PUP .tmp.exe apparaissent à toute berzingue.
 
HEEEEEEELp !
 
JanusB

Bonjour,
 
On attaque la desinfection.
 

• Télécharge combofix.exe (par sUBs) sur ton Bureau
• Double clique combofix.exe et suis les invites.
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
• Clique sur le bouton Scan for Vundo
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

Jean de La Tour - 06-10-04 16:42:51,37    Service Pack 2
ComboFix 06.09.28 - Running from: "C:\"
 
((((((((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
 
 
C:\Program Files\ToolBar888
C:\WINDOWS\system32\components
C:\Program Files\Fichiers communs\{C4848B88-0AE9-1036-0103-060223060021}
C:\WINDOWS\system32\ishost.exe  
C:\WINDOWS\system32\ismini.exe  
 
 
(((((((((((((((((((((((((((((((   Files Created from 2006-09-04 to 2006-10-04  ))))))))))))))))))))))))))))))))))
 
 
2006-10-04 16:22 40,973 ---hs---- C:\WINDOWS\system32\yayxxya.dll
2006-10-04 15:39 86,036 --a------ C:\WINDOWS\system32\vaeelfud.dll
2006-10-04 12:43 94,208 --a------ C:\WINDOWS\system32\mbkrysb.dll
2006-10-04 12:43 72,192 --a------ C:\WINDOWS\system32\yljsekc.dll
2006-10-04 12:43 40,973 --------- C:\WINDOWS\system32\yayabxu.dll
2006-10-04 03:29 666,840 ---hs---- C:\WINDOWS\system32\rstwa.ini2
2006-10-03 10:44 93,696 --a------ C:\WINDOWS\system32\ipqsowe.dll
2006-10-03 10:44 72,704 --a------ C:\WINDOWS\system32\xlsthlk.dll
2006-10-03 02:55 143,380 --a------ C:\WINDOWS\system32\irhqpqym.exe
2006-10-03 02:07 94,208 --a------ C:\WINDOWS\system32\tdlbwal.dll
2006-10-03 02:07 73,216 --a------ C:\WINDOWS\system32\mbwletd.dll
2006-10-03 01:42 427,520 --a------ C:\WINDOWS\WRServices.dll
2006-10-03 01:42 102,912 --a------ C:\WINDOWS\system32\islzma.dll
2006-10-01 16:56 835,872 --a------ C:\WINDOWS\system32\wodFtpDLX.dll
2006-10-01 16:56 49,152 --a------ C:\WINDOWS\system32\MTXM_Thumbs.dll
2006-10-01 14:07 10,368 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2006-09-29 19:37 45,525 --a------ C:\WINDOWS\system32\qkhgrjce.dll
2006-09-29 16:00 73,748 --a------ C:\WINDOWS\system32\utahjjio.dll
2006-09-28 14:59 688,876 ---hs---- C:\WINDOWS\system32\rstwa.bak2
2006-09-27 08:52 663,246 ---hs---- C:\WINDOWS\system32\rstwa.bak1
2006-09-27 08:52 577,588 ---hs---- C:\WINDOWS\system32\awtsr.dll
2006-09-27 08:52 45,525 --a------ C:\WINDOWS\system32\hknpbmyl.dll
2006-09-27 08:52 143,380 --a------ C:\WINDOWS\system32\tmnwfcjv.exe
2006-09-27 08:03 93,696 --a------ C:\WINDOWS\system32\oiobxdm.dll
2006-09-27 08:03 72,704 --a------ C:\WINDOWS\system32\etslxul.dll
2006-09-27 08:03 15,872 --a------ C:\WINDOWS\system32\winbfi32.dll
2006-09-27 06:54 82,432 --a------ C:\WINDOWS\system32\msxml4r.dll
2006-09-27 06:54 1,233,920 --a------ C:\WINDOWS\system32\msxml4.dll
 
 
((((((((((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))
 
 
2006-10-04 16:44 -------- d-------- C:\Program Files\Fichiers communs
2006-10-04 16:21 -------- d-------- C:\Program Files\Mozilla Firefox
2006-10-03 18:49 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Adobe
2006-10-03 02:55 -------- d-------- C:\Program Files\VSToolbar
2006-10-03 02:27 -------- d-------- C:\Program Files\dvdSanta
2006-10-03 02:24 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Lavasoft
2006-10-03 01:42 -------- d-------- C:\Program Files\Webroot
2006-10-03 01:42 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Webroot
2006-10-03 01:01 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Mozilla
2006-10-02 18:50 -------- d-------- C:\Program Files\monAlbumPhoto
2006-10-02 18:50 -------- d-------- C:\Program Files\GlobFX Technologies
2006-10-02 18:50 -------- d-------- C:\Program Files\CCleaner
2006-10-01 16:20 -------- d-------- C:\Program Files\Fichiers communs\Adobe
2006-10-01 16:20 -------- d-------- C:\Program Files\Adobe
2006-09-30 11:00 -------- d-------- C:\Program Files\CDex_150
2006-09-28 14:56 -------- d-------- C:\Program Files\WinRAR
2006-09-27 18:56 -------- d-------- C:\Program Files\Adolix
2006-09-27 10:48 -------- d---s---- C:\Documents and Settings\Jean de La Tour\Application Data\Microsoft
2006-09-27 07:22 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Opera
2006-09-26 13:23 -------- d-------- C:\Program Files\Fichiers communs\Microsoft Shared
2006-09-26 13:22 -------- d-------- C:\Program Files\Snapshot Viewer
2006-09-26 13:22 -------- d-------- C:\Program Files\Microsoft Office
2006-09-26 13:22 -------- d-------- C:\Program Files\Fichiers communs\System
2006-09-26 13:21 -------- d-------- C:\Program Files\microsoft frontpage
2006-09-26 13:17 -------- d-------- C:\Program Files\Microsoft Visual Studio
2006-09-26 13:17 -------- d-------- C:\Program Files\Fichiers communs\Designer
2006-09-26 13:14 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Microsoft Web Folders
2006-09-21 15:02 -------- d-------- C:\Program Files\Winamp
2006-09-19 14:07 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-09-19 14:07 -------- d-------- C:\Program Files\CyberLink
2006-09-14 19:12 -------- d-------- C:\Documents and Settings\Jean de La Tour\Application Data\Identities
2006-09-12 20:51 -------- d-------- C:\Program Files\Audacity
2006-09-01 19:01 -------- d-------- C:\Program Files\Internet Explorer
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --a------ C:\WINDOWS\system32\drivers\fltmgr.sys
2006-07-27 15:26 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:27 72704 --a------ C:\WINDOWS\system32\hlink.dll
 
 
((((((((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))
 
*Note* empty entries are not shown
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"SunJavaUpdateSched"="C:\\Program Files\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"IAAnotif"="C:\\Program Files\\Intel\\Intel Matrix Storage Manager\\iaanotif.exe"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"ISUSPM Startup"="\"C:\\Program Files\\Fichiers communs\\InstallShield\\UpdateService\\isuspm.exe\" -startup"
"ISUSScheduler"="\"C:\\Program Files\\Fichiers communs\\InstallShield\\UpdateService\\issch.exe\" -start"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"VSOCheckTask"="\"C:\\PROGRA~1\\McAfee.com\\VSO\\mcmnhdlr.exe\" /checktask"
"OASClnt"="C:\\Program Files\\McAfee.com\\VSO\\oasclnt.exe"
"MCAgentExe"="c:\\PROGRA~1\\mcafee.com\\agent\\mcagent.exe"
"MCUpdateExe"="c:\\PROGRA~1\\mcafee.com\\agent\\McUpdate.exe"
"MSKDetectorExe"="C:\\PROGRA~1\\McAfee\\SPAMKI~1\\MSKDetct.exe /startup"
"MSKAGENTEXE"="C:\\PROGRA~1\\McAfee\\SPAMKI~1\\MskAgent.exe"
"VirusScan Online"="C:\\Program Files\\McAfee.com\\VSO\\mcvsshld.exe"
"MPFExe"="C:\\PROGRA~1\\McAfee.com\\PERSON~1\\MpfTray.exe"
"SwPrnMon"="\"C:\\Program Files\\Fichiers communs\\Sowedoo Shared\\Sowedoo PDF Printer V4\\SwPrnMon.exe\""
"SigmatelSysTrayApp"="stsystra.exe"
"oiobxdm.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\oiobxdm.dll,vbvqtlf"
"SpySweeper"="\"C:\\Program Files\\Webroot\\Spy Sweeper\\SpySweeper.exe\" /startintray"
"tdlbwal.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\tdlbwal.dll,xlnedle"
"ipqsowe.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\ipqsowe.dll,pwjomwd"
"mbkrysb.dll"="C:\\WINDOWS\\system32\\rundll32.exe C:\\WINDOWS\\system32\\mbkrysb.dll,qiustdc"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,ff,00,00,00,00,00,00,00,01,03,00,00,c2,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{D3B3C51E-8D11-4667-85B9-0930F519BED7}"=""
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
  63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
  6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
  73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoCDBurning"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
 
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtsr
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbfi32
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\yayabxu
 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ  msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll
 
 
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Rappel d'abonnement 1 auprŠs de l'ISP.job
C:\WINDOWS\tasks\Recherche de virus de McAfee.com - Mon ordinateur (STAFIX-Jean de La Tour).job
 
Completion time: 04/10/2006 16:45:59.96  
ComboFix.txt

ComboFix m'a fait peur : lle PC s'est subitement éteint puis rallumé. C'est normal ?

Ca arrive parfois mais rien de grave.
Fais le scan Vundofix.

VundoFix V6.2.0
 
Checking Java version...
 
Java version is 1.4.2.3
 
Java version is 1.5.0.6
 
Scan started at 16:53:48 04/10/2006
 
Listing files found while scanning....
 
C:\WINDOWS\system32\hknpbmyl.dll
C:\WINDOWS\system32\qkhgrjce.dll
C:\WINDOWS\system32\utahjjio.dll
C:\WINDOWS\system32\yayabxu.dll
C:\WINDOWS\system32\yayxxya.dll
C:\WINDOWS\system32\irhqpqym.exe
C:\WINDOWS\system32\tmnwfcjv.exe
C:\WINDOWS\system32\awtsr.dll
C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\system32\rstwa.bak1
C:\WINDOWS\system32\rstwa.bak2
C:\WINDOWS\system32\rstwa.ini2
C:\WINDOWS\system32\rstwa.tmp
 
Beginning removal...
 
 Attempting to delete C:\WINDOWS\system32\hknpbmyl.dll
C:\WINDOWS\system32\hknpbmyl.dll Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\qkhgrjce.dll
C:\WINDOWS\system32\qkhgrjce.dll Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\utahjjio.dll
C:\WINDOWS\system32\utahjjio.dll Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\yayabxu.dll
C:\WINDOWS\system32\yayabxu.dll Could not be deleted.
 
 Attempting to delete C:\WINDOWS\system32\yayxxya.dll
C:\WINDOWS\system32\yayxxya.dll Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\irhqpqym.exe
C:\WINDOWS\system32\irhqpqym.exe Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\tmnwfcjv.exe
C:\WINDOWS\system32\tmnwfcjv.exe Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\awtsr.dll
C:\WINDOWS\system32\awtsr.dll Could not be deleted.
 
 Attempting to delete C:\WINDOWS\system32\rstwa.ini
C:\WINDOWS\system32\rstwa.ini Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\rstwa.bak1
C:\WINDOWS\system32\rstwa.bak1 Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\rstwa.bak2
C:\WINDOWS\system32\rstwa.bak2 Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\rstwa.ini2
C:\WINDOWS\system32\rstwa.ini2 Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\rstwa.tmp
C:\WINDOWS\system32\rstwa.tmp Has been deleted!
 
Performing Repairs to the registry.
Done!
 
Beginning removal...
 
 Attempting to delete C:\WINDOWS\system32\yayabxu.dll
C:\WINDOWS\system32\yayabxu.dll Has been deleted!
 
 Attempting to delete C:\WINDOWS\system32\awtsr.dll
C:\WINDOWS\system32\awtsr.dll Has been deleted!
 
Performing Repairs to the registry.
Done!
 
 
Voilà

Suite des opérations ?
 
Juste une question : mon probleme de graveur est il lié ?

D'apres spysweeper, winlogonhook est toujours présent

Qui a dit que c'etait fini ?
 
Fais bien TOUT ce qui suit.
 
- Télécharge Hijackthis de Merjin
- Mets le dans un dossier ou sur ton bureau
-- Clique Droit sur Hijackthis :  
-> Choisis " Renommer "  
-> Tape Scanner.exe puis valide
 
- Lance l'application
- Choisis l'option Do a system scan and save a logfile
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.
 
Aide sur Hijackthis
 
Télécharge Smitfraudfix
Dézippe-le sur le Bureau.
Ouvre le dossier SmitfraudFix et lance SmitfraudFix(.cmd)
Choisis l'Option 1 (Recherche)
Poste le premier rapport ici.
 
NOTE :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Logfile of HijackThis v1.99.1
Scan saved at 17:12:40, on 04/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Program Files\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Program Files\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Program Files\Fichiers communs\Sowedoo Shared\Sowedoo PDF Printer V4\SwPrnMon.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
C:\WINDOWS\system32\dllhost.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\JEANDE~1\LOCALS~1\Temp\Rar$EX01.719\HijackThis.exe
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.fr/myway
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dell.fr/myway
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O2 - BHO: (no name) - {00A44F84-01EF-4574-97A5-B399861219A1} - C:\WINDOWS\system32\awtsr.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09AE7E38-DA43-2CC1-0245-06D44285C1EA} - C:\WINDOWS\system32\xlsthlk.dll
O2 - BHO: (no name) - {129768E8-82D9-9B99-C18E-01FE5A0856E3} - C:\WINDOWS\system32\etslxul.dll
O2 - BHO: (no name) - {27B3C5D3-443C-7951-02C8-0765AFC1E145} - C:\WINDOWS\system32\mbwletd.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: (no name) - {59A92610-89A2-684B-148F-081C2400A6F8} - C:\WINDOWS\system32\yljsekc.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {849B9523-785F-4014-9CAF-079FB4A74C61} - C:\WINDOWS\system32\vaeelfud.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: (no name) - {D3B3C51E-8D11-4667-85B9-0930F519BED7} - C:\WINDOWS\system32\yayabxu.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [OASClnt] C:\Program Files\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Program Files\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [SwPrnMon] "C:\Program Files\Fichiers communs\Sowedoo Shared\Sowedoo PDF Printer V4\SwPrnMon.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [oiobxdm.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\oiobxdm.dll,vbvqtlf
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [tdlbwal.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\tdlbwal.dll,xlnedle
O4 - HKLM\..\Run: [ipqsowe.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ipqsowe.dll,pwjomwd
O4 - HKLM\..\Run: [mbkrysb.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\mbkrysb.dll,qiustdc
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: wkcalrem.LNK = C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Gamma Loader.lnk.disabled
O4 - Global Startup: ColorVisionStartup.lnk = C:\Program Files\PANTONE COLORVISION\Utility\ColorVisionStartup.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/ [...] insctl.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Intel® Quick Resume Technology Drivers (ELService) - Intel Corporation - C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
 

Smitfraud ne marche pas : j'accede à une boite dans laquelle il est écrit qu'il manque le dossier process.exe

Pas tres propre tout ca !
 
Smitfraud ne marche pas : j'accede à une boite dans laquelle il est écrit qu'il manque le dossier process.exe
-> tu l'as mal dezippe Clique Droit sur le .zip -> Extraire
 
Si ton pc n'est pas tres recent en terme de puissance
 
Desinstalle SpySweeper puis :
 
Télécharge puis installe AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"
Ferme le programme.
 
Redémarre en mode sans échec
 
Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"
 
/!\ Si un fichier est infecté détécté en fin d'analyse /!\  
Clique sur "Appliquer toutes les actions "  
 
Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.
 
Redémarre normalement
Copie/Colle le rapport ici.

C'est bon !
 
SmitFraudFix v2.104
 
Rapport fait à 17:19:05,73, 04/10/2006
Executé à partir de C:\Documents and Settings\Jean de La Tour\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean de La Tour
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Jean de La Tour\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\JEANDE~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
 
 
»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin