Tom's Guide > Forum > Sécurité - Virus > [Résolu] PSW.x-vir TROJAN

[Résolu] PSW.x-vir TROJAN

Forum Sécurité - Virus : [Résolu] PSW.x-vir TROJAN

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
kontrastt   10-11-2007 à 13:02:49

Bonjour, mon pc est infecté par ce trojan et j'ai tout le temps des messages qui me proposent d'installer des antivirus, des fenêtres explorer qui s'ouvrent toutes seules, et je ne sais pas du tout d'où ça peut venir!! J'ai vraiment besoin d'aide car je ne connais pas grand chose en informatique :s
Merci d'avance!


Message édité par kontrastt le 12-11-2007 à 22:08:55
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
XmichouX   10-11-2007 à 13:06:09
- 0 +

Bonjour,

Télécharge Hijackthis (de Trend Micro)
Poste un rapport en suivant ce tuto.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   10-11-2007 à 13:11:53
- 0 +

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:10:38, on 10/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\system32\wkaffupl.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live Toolbar\msn_sl.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?Li [...] google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\wctcgoag.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [48493043] rundll32.exe "C:\WINDOWS\system32\ocgxsphm.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?751cfb45a9b24940822a47e497a13ba0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?751cfb45a9b24940822a47e497a13ba0
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\wkaffupl.exe

--
End of file - 5453 bytes

Répondre à kontrastt
XmichouX   10-11-2007 à 13:16:07
- 0 +

Infection Vundo :

Fais ces manips dans l’ordre :

1/ Télécharge VundoFix.exe :

Double-clique VundoFix.exe .
Clique sur Scan for Vundo.
Lorsque le scan est complété, clique sur le bouton Remove Vundo.
Ensuite clique sur YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
Tu auras un message comme quoi l’ordinateur va s’éteindre, fais ok

Poste le rapport qui se trouve dans C:\vundofix.txt

2/ Télécharge Combofix (par sUBs) sur ton Bureau. (Tuto)
Double clique combofix.exe.
Tape sur la touche 1 (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

Le rapport se trouve ici : C:\Combofix.txt

3/ Poste un nouveau rapport HiJackThis (en ayant renommé HiJackthis.exe en SCANNER.EXE)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   10-11-2007 à 14:16:00
- 0 +

Voilà celui de Vundofix :

VundoFix V6.5.11

Checking Java version...

Scan started at 13:17:31 10/11/2007

Listing files found while scanning....

C:\WINDOWS\system32\wctcgoag.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\wctcgoag.dll
C:\WINDOWS\system32\wctcgoag.dll Has been deleted!

Performing Repairs to the registry.
Done!

Répondre à kontrastt
kontrastt   10-11-2007 à 14:40:01
- 0 +

ComboFix 07-11-08.1 - amandine 2007-11-10 14:20:04.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 1:00]
Running from: C:\Documents and Settings\amandine\Bureau\ComboFix.exe
* Created a new restore point
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\a.exe
C:\Documents and Settings\All Users\Menu Démarrer\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menu Démarrer\Online Security Guide.lnk
C:\Documents and Settings\amandine\Application Data\installer_fr[1].exe
C:\Documents and Settings\amandine\Bureau\internet.lnk
C:\Documents and Settings\amandine\Bureau\Live Safety Center.lnk
C:\Documents and Settings\amandine\Bureau\Online Security Guide.lnk
C:\Documents and Settings\amandine\Favoris\Online Security Guide.lnk
C:\Documents and Settings\angela\Bureau\Live Safety Center.lnk
C:\Documents and Settings\angela\Bureau\Online Security Guide.lnk
C:\Documents and Settings\angela\Favoris\Online Security Guide.lnk
C:\Documents and Settings\jean paul\Local Settings\Application Data\xtuasy.dat
C:\Documents and Settings\jean paul\Local Settings\Application Data\xtuasy.exe
C:\Documents and Settings\jean paul\Local Settings\Application Data\xtuasy_nav.dat
C:\Documents and Settings\jean paul\Local Settings\Application Data\xtuasy_navps.dat
C:\Program Files\Temporary
C:\Program Files\Temporary\wininstall.exe
C:\Program Files\WinAble
C:\WINDOWS\b122.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\__c0042BA.dat
C:\WINDOWS\system32\bdcdd.bak1
C:\WINDOWS\system32\bdcdd.bak2
C:\WINDOWS\system32\bdcdd.ini
C:\WINDOWS\system32\biybcxyy.dll
C:\WINDOWS\system32\ddcdb.dll
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\wctcgoag.dllbox
C:\WINDOWS\system32\winspool.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DOMAINSERVICE
-------\DomainService


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-10 to 2007-11-10 ))))))))))))))))))))))))))))))))))))
.

2007-11-10 14:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-10 13:17 <REP> d-------- C:\VundoFix Backups
2007-11-10 13:09 <REP> d-------- C:\Program Files\Trend Micro
2007-11-10 12:19 36,352 --a------ C:\WINDOWS\system32\hggfddb.dll
2007-11-10 12:13 81,472 --a------ C:\WINDOWS\system32\gwsadsqr.dll
2007-11-10 12:12 85,056 --a------ C:\WINDOWS\system32\ocgxsphm.dll
2007-11-10 12:11 145,984 --a------ C:\WINDOWS\system32\xpeouwdn.dll
2007-11-10 12:11 36,352 --a------ C:\WINDOWS\system32\fccyyaw.dll
2007-11-10 12:10 71,232 --a------ C:\WINDOWS\system32\wkaffupl.exe
2007-11-10 12:10 12,520 --a------ C:\Documents and Settings\angela\z.dat
2007-11-10 12:10 897 --a------ C:\Documents and Settings\angela\x.dat
2007-11-10 12:09 65,912 --a------ C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
2007-11-09 20:48 <REP> d-------- C:\Documents and Settings\jean paul\Application Data\LimeWire
2007-11-09 19:16 35,328 --a------ C:\WINDOWS\system32\ljjgfee.dll
2007-11-09 19:16 6,555 --a------ C:\Documents and Settings\jean paul\x.dat
2007-11-09 19:15 134,758 --a------ C:\Documents and Settings\jean paul\z.dat
2007-11-09 18:06 <REP> d-------- C:\Program Files\Incomplete
2007-11-09 18:02 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-09 17:59 35,328 --a------ C:\WINDOWS\system32\ddcbxvu.dll
2007-11-09 17:59 134 --a------ C:\n.bat
2007-11-09 17:59 0 --a------ C:\x.dat
2007-11-09 17:58 172,032 --a------ C:\winlogon.exe
2007-11-09 17:58 45,999 --a------ C:\Documents and Settings\amandine\z.dat
2007-11-09 17:58 4,506 --a------ C:\Documents and Settings\amandine\x.dat
2007-11-09 17:58 0 --a------ C:\z.dat
2007-11-09 17:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems
2007-11-09 17:22 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-11-09 15:42 <REP> d-------- C:\Documents and Settings\amandine\Application Data\MSN6
2007-11-09 15:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSN6
2007-11-08 15:52 <REP> d-------- C:\Program Files\Windows Defender
2007-11-03 17:56 <REP> d-------- C:\Documents and Settings\amandine\Incomplete
2007-11-03 17:55 <REP> d-------- C:\Documents and Settings\amandine\Application Data\LimeWire
2007-11-03 17:53 <REP> d-------- C:\Program Files\Java
2007-11-03 17:52 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-02 23:36 <REP> d-------- C:\Program Files\eMule
2007-10-26 06:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-10-25 20:54 <REP> d-------- C:\Program Files\Windows Live
2007-10-25 20:54 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-10-20 20:53 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-10-20 20:53 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-10-20 15:37 <REP> d-------- C:\Documents and Settings\angela\Application Data\vlc
2007-10-16 13:06 <REP> d-------- C:\Documents and Settings\jean paul\Application Data\vlc
2007-10-13 21:43 <REP> d-------- C:\Documents and Settings\amandine\Application Data\vlc
2007-10-13 19:54 <REP> d-------- C:\Program Files\VideoLAN
2007-10-10 15:02 <REP> d-------- C:\WebCamNX
2007-10-10 15:02 118,784 --a------ C:\WINDOWS\system32\P1110vfw.dll
2007-10-10 15:02 90,357 --a------ C:\WINDOWS\system32\drivers\P1110Vid.sys
2007-10-10 15:02 73,728 --a------ C:\WINDOWS\ctdrvins.exe
2007-10-10 15:02 69,632 --a------ C:\WINDOWS\system32\P1110Sti.dll
2007-10-10 15:02 65,536 --a------ C:\WINDOWS\system32\CtCamMgr.dll
2007-10-10 15:02 40,960 --a------ C:\WINDOWS\system32\P1110hwx.dll
2007-10-10 15:02 40,960 --a------ C:\WINDOWS\P1110cfg.exe
2007-10-10 15:02 32,768 --a------ C:\WINDOWS\system32\P1110pin.dll
2007-10-10 14:50 <REP> d-------- C:\Program Files\Creative
2007-10-10 09:51 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-10 11:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-11-09 17:02 278,542 ----a-w C:\WINDOWS\Fonts\Setup.exe
2007-11-09 16:57 278,541 --sh--w C:\WINDOWS\Fonts\svchost.exe
2007-10-25 19:54 --------- d-----w C:\Program Files\MSN Messenger
2007-10-10 13:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-05 15:17 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-05 15:17 --------- d-----w C:\Program Files\Windows Live Favorites
2007-10-05 15:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2007-10-05 15:15 304,182 ----a-w C:\StiImg.dat
2007-10-05 15:12 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3eb0cb79-7f67-4821-9d70-a1ce6b7bc504}]
2007-11-10 12:13 81472 --a------ C:\WINDOWS\system32\gwsadsqr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCC73622-F72D-4277-803C-D65565A0947F}]
2007-11-09 17:59 35328 --a------ C:\WINDOWS\system32\ddcbxvu.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FDAD8937-3274-493F-9D40-961DE0BDF23A}]
C:\Program Files\Windows Media Player\meqosawihC:\DOCUME~1\JEANPA~1\LOCALS~1\Temp\CEMG555077.exe.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 11:06]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2002-08-21 23:00]
"EoEngine"="" []
"EoWeather"="" []
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20]
"Host Process"="C:\WINDOWS\Fonts\svchost.exe" [2007-11-09 17:57]
"48493043"="C:\WINDOWS\system32\ocgxsphm.dll" [2007-11-10 12:12]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" []
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{01CD0B31-9154-45F2-9414-F5D64B74EAF6}"= C:\WINDOWS\system32\fccyyaw.dll [2007-11-10 12:11 36352]
"{BCC73622-F72D-4277-803C-D65565A0947F}"= C:\WINDOWS\system32\ddcbxvu.dll [2007-11-09 17:59 35328]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcbxvu]
ddcbxvu.dll 2007-11-09 17:59 35328 C:\WINDOWS\system32\ddcbxvu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyyaw]
fccyyaw.dll 2007-11-10 12:11 36352 C:\WINDOWS\system32\fccyyaw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ddcdb.dll

R1 CTSYN;Creative S/W Synth;C:\WINDOWS\system32\drivers\CTSYN.SYS
R3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys
R3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 13:33:50 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
"2007-11-10 12:53:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-10 14:31:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-10 14:35:07 - machine was rebooted
.
--- E O F ---

Répondre à kontrastt
kontrastt   10-11-2007 à 14:42:18
- 0 +

Et le dernier :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:41:46, on 10/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\17PHolmes1188.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\b147.exe
C:\Program Files\Insider\Insider.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?Li [...] google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [48493043] rundll32.exe "C:\WINDOWS\system32\ocgxsphm.dll",b
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?751cfb45a9b24940822a47e497a13ba0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?751cfb45a9b24940822a47e497a13ba0
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5029 bytes

Répondre à kontrastt
XmichouX   10-11-2007 à 14:59:08
- 0 +

Re,

Désinstalle Eoreozo et ses amis via ajout/suppression de programmes.

++++++++++

Copie le texte se situant dans le cadre ci-dessous :

File::
c:\windows\system32\ldcore.dll
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\ocgxsphm.dll
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\b147.exe
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\system32\ddcdb.dll
C:\WINDOWS\system32\fccyyaw.dll
C:\WINDOWS\system32\ddcbxvu.dll
C:\DOCUME~1\JEANPA~1\LOCALS~1\Temp\CEMG555077.exe.dll
C:\WINDOWS\system32\gwsadsqr.dll
C:\WINDOWS\system32\ddcbxvu.dll
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\system32\hggfddb.dll
C:\WINDOWS\system32\gwsadsqr.dll
C:\WINDOWS\system32\ocgxsphm.dll
C:\WINDOWS\system32\xpeouwdn.dll
:\WINDOWS\system32\fccyyaw.dll
C:\WINDOWS\system32\wkaffupl.exe
C:\Documents and Settings\angela\z.dat
C:\Documents and Settings\angela\x.dat
C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\ljjgfee.dll
C:\Documents and Settings\jean paul\x.dat
C:\Documents and Settings\jean paul\z.dat
C:\n.bat
C:\x.dat
C:\winlogon.exe
C:\z.dat

Folder::
C:\Program Files\Insider\
C:\Program Files\Windows Media Player\meqosawih
C:\VundoFix Backups

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{01CD0B31-9154-45F2-9414-F5D64B74EAF6}"=-
"{BCC73622-F72D-4277-803C-D65565A0947F}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcbxvu]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccyyaw]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EoEngine"=-
"EoWeather"=-
"Host Process"=-
"48493043"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3eb0cb79-7f67-4821-9d70-a1ce6b7bc504}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{BCC73622-F72D-4277-803C-D65565A0947F}]



Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   10-11-2007 à 17:43:44
- 0 +

Je vois pas de Eoreozo quand je vais dans l'ajout/supression de programme :s

Répondre à kontrastt
XmichouX   10-11-2007 à 18:02:51
- 0 +

Et dans Program Files?
Continue les manips ;)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   10-11-2007 à 18:56:07
- 0 +

Non plus dans program files, je le trouve nulle part!! En tout cas le pc va déjà beaucoup mieux merci!! =)

ComboFix 07-11-08.1 - amandine 2007-11-10 18:32:29.2 - NTFSx86
Running from: C:\Documents and Settings\amandine\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\amandine\Bureau\CFScript.txt
* Created a new restore point

FILE
:\WINDOWS\system32\fccyyaw.dll
C:\DOCUME~1\JEANPA~1\LOCALS~1\Temp\CEMG555077.exe.dll
C:\Documents and Settings\angela\x.dat
C:\Documents and Settings\angela\z.dat
C:\Documents and Settings\jean paul\x.dat
C:\Documents and Settings\jean paul\z.dat
C:\n.bat
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\b147.exe
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\ddcbxvu.dll
C:\WINDOWS\system32\ddcdb.dll
C:\WINDOWS\system32\fccyyaw.dll
C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\gwsadsqr.dll
C:\WINDOWS\system32\hggfddb.dll
c:\windows\system32\ldcore.dll
C:\WINDOWS\system32\ljjgfee.dll
C:\WINDOWS\system32\ocgxsphm.dll
C:\WINDOWS\system32\wkaffupl.exe
C:\WINDOWS\system32\xpeouwdn.dll
C:\winlogon.exe
C:\x.dat
C:\z.dat
.

Incapable d'obtenir les privilèges Système

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\a.exe
C:\Documents and Settings\angela\x.dat
C:\Documents and Settings\angela\z.dat
C:\Documents and Settings\jean paul\x.dat
C:\Documents and Settings\jean paul\z.dat
C:\n.bat
C:\Program Files\Fichiers communs\Yazzle1560OinAdmin.exe
C:\Program Files\Fichiers communs\Yazzle1560OinUninstaller.exe
C:\Program Files\inetget2
C:\Program Files\Insider
C:\Program Files\Insider\\Insider.exe
C:\Program Files\Insider\Insider.exe
C:\VundoFix Backups
C:\VundoFix Backups\addmorefiles.txt
C:\VundoFix Backups\wctcgoag.dll.bad
C:\WINDOWS\17PHolmes1188.exe
C:\WINDOWS\b128.exe
C:\WINDOWS\b147.exe
C:\WINDOWS\cookies.ini
C:\WINDOWS\Fonts\Setup.exe
C:\WINDOWS\Fonts\svchost.exe
C:\WINDOWS\mrofinu1188.exe
C:\WINDOWS\system32\awtss.dll
C:\WINDOWS\system32\ddcbxvu.dll
C:\WINDOWS\system32\deeeg.bak1
C:\WINDOWS\system32\deeeg.ini
C:\WINDOWS\system32\fccyyaw.dll
C:\WINDOWS\system32\GDIPFONTCACHEV1.DAT
C:\WINDOWS\system32\geeed.dll
C:\WINDOWS\system32\gwsadsqr.dll
C:\WINDOWS\system32\hggfddb.dll
C:\WINDOWS\system32\knnnn.bak1
C:\WINDOWS\system32\knnnn.ini
C:\WINDOWS\system32\ldinfo.ldr
C:\WINDOWS\system32\ljjgfee.dll
C:\WINDOWS\system32\nnnnk.dll
C:\WINDOWS\system32\ocgxsphm.dll
C:\WINDOWS\system32\sstwa.bak1
C:\WINDOWS\system32\sstwa.ini
C:\WINDOWS\system32\wkaffupl.exe
C:\WINDOWS\system32\xpeouwdn.dll
C:\winlogon.exe
C:\x.dat
C:\z.dat

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-10 to 2007-11-10 ))))))))))))))))))))))))))))))))))))
.

2007-11-10 15:28 36,352 --a------ C:\WINDOWS\system32\ddcywvw.dll
2007-11-10 15:02 36,352 --a------ C:\WINDOWS\system32\ddcdeca.dll
2007-11-10 14:35 36,352 --a------ C:\WINDOWS\system32\cbxvutq.dll
2007-11-10 14:17 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-10 13:09 <REP> d-------- C:\Program Files\Trend Micro
2007-11-09 20:48 <REP> d-------- C:\Documents and Settings\jean paul\Application Data\LimeWire
2007-11-09 18:06 <REP> d-------- C:\Program Files\Incomplete
2007-11-09 18:02 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-11-09 17:58 45,999 --a------ C:\Documents and Settings\amandine\z.dat
2007-11-09 17:58 4,506 --a------ C:\Documents and Settings\amandine\x.dat
2007-11-09 17:34 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Adobe Systems
2007-11-09 17:22 <REP> d-------- C:\Program Files\Fichiers communs\Adobe Systems Shared
2007-11-09 15:42 <REP> d-------- C:\Documents and Settings\amandine\Application Data\MSN6
2007-11-09 15:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\MSN6
2007-11-08 15:52 <REP> d-------- C:\Program Files\Windows Defender
2007-11-03 17:56 <REP> d-------- C:\Documents and Settings\amandine\Incomplete
2007-11-03 17:55 <REP> d-------- C:\Documents and Settings\amandine\Application Data\LimeWire
2007-11-03 17:53 <REP> d-------- C:\Program Files\Java
2007-11-03 17:52 <REP> d-------- C:\Program Files\Fichiers communs\Java
2007-11-02 23:36 <REP> d-------- C:\Program Files\eMule
2007-10-26 06:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!
2007-10-25 20:54 <REP> d-------- C:\Program Files\Windows Live
2007-10-25 20:54 <REP> d-------- C:\Program Files\Messenger Plus! Live
2007-10-20 20:53 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-10-20 20:53 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-10-20 15:37 <REP> d-------- C:\Documents and Settings\angela\Application Data\vlc
2007-10-16 13:06 <REP> d-------- C:\Documents and Settings\jean paul\Application Data\vlc
2007-10-13 21:43 <REP> d-------- C:\Documents and Settings\amandine\Application Data\vlc
2007-10-13 19:54 <REP> d-------- C:\Program Files\VideoLAN
2007-10-10 15:02 <REP> d-------- C:\WebCamNX
2007-10-10 15:02 118,784 --a------ C:\WINDOWS\system32\P1110vfw.dll
2007-10-10 15:02 90,357 --a------ C:\WINDOWS\system32\drivers\P1110Vid.sys
2007-10-10 15:02 73,728 --a------ C:\WINDOWS\ctdrvins.exe
2007-10-10 15:02 69,632 --a------ C:\WINDOWS\system32\P1110Sti.dll
2007-10-10 15:02 65,536 --a------ C:\WINDOWS\system32\CtCamMgr.dll
2007-10-10 15:02 40,960 --a------ C:\WINDOWS\system32\P1110hwx.dll
2007-10-10 15:02 40,960 --a------ C:\WINDOWS\P1110cfg.exe
2007-10-10 15:02 32,768 --a------ C:\WINDOWS\system32\P1110pin.dll
2007-10-10 14:50 <REP> d-------- C:\Program Files\Creative
2007-10-10 09:51 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-10 11:52 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2007-10-25 19:54 --------- d-----w C:\Program Files\MSN Messenger
2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-10-25 17:05 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-10-10 13:50 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-05 15:17 --------- d-----w C:\Program Files\Windows Live Toolbar
2007-10-05 15:17 --------- d-----w C:\Program Files\Windows Live Favorites
2007-10-05 15:17 --------- d-----w C:\Documents and Settings\All Users\Application Data\Windows Live Toolbar
2007-10-05 15:15 304,182 ----a-w C:\StiImg.dat
2007-10-05 15:12 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
.

((((((((((((((((((((((((((((( snapshot@2007-11-10_14.33.28.71 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-09-06 10:09:49 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
+ 2007-10-25 16:24:45 815,480 ----a-w C:\WINDOWS\system32\aswBoot.exe
- 2007-09-06 10:00:07 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
+ 2007-10-25 16:14:25 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
+ 2007-11-10 17:50:52 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4d0.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6F9E0C1F-EE94-40CC-AEB1-692ADFA01E5B}]
C:\Program Files\Windows Media Player\meqosawihC:\DOCUME~1\amandine\LOCALS~1\Temp\CEMG555077.exe.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FDAD8937-3274-493F-9D40-961DE0BDF23A}]
C:\Program Files\Windows Media Player\meqosawihC:\DOCUME~1\JEANPA~1\LOCALS~1\Temp\CEMG555077.exe.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"PMXInit"="C:\WINDOWS\system32\pmxinit.exe" [2002-08-21 23:00]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2006-11-03 19:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:09]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" []
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]

R1 CTSYN;Creative S/W Synth;C:\WINDOWS\system32\drivers\CTSYN.SYS
R3 FA312;Pilote de la carte Fast Ethernet FA330/FA312/FA311 NETGEAR;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys
R3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2007-11-10 16:27:17 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Program Files\Windows Defender\MpCmdRun.exe
"2007-11-10 17:53:04 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-10 18:51:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-11-10 18:53:41 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-10 14:35
.
--- E O F ---

Répondre à kontrastt
kontrastt   10-11-2007 à 18:56:48
- 0 +

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:56:20, on 10/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\Program Files\EoRezo\EoAdv\EoRezoBHO.dll (file missing)
O2 - BHO: (no name) - {6F9E0C1F-EE94-40CC-AEB1-692ADFA01E5B} - C:\Program Files\Windows Media Player\meqosawihC:\DOCUME~1\amandine\LOCALS~1\Temp\CEMG555077.exe.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDAD8937-3274-493F-9D40-961DE0BDF23A} - C:\Program Files\Windows Media Player\meqosawihC:\DOCUME~1\JEANPA~1\LOCALS~1\Temp\CEMG555077.exe.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?751cfb45a9b24940822a47e497a13ba0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?751cfb45a9b24940822a47e497a13ba0
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--
End of file - 5494 bytes

Répondre à kontrastt
XmichouX   10-11-2007 à 19:30:47
- 0 +

Tu es sûr d'avoir bien copié tout le cadre comme je t'avais mis ? :D

Va dans C:\Program Files\Windows Media Player\, dis moi si tu vois ceci : ~~> meqosawih Dossier ou fichier ? Si fichier, donne moi l'extension.
Fais ceci aussi :


Télécharge Ccleaner (>>tuto à lire !<<), tu download «the latest version » puis installe le en décochant - Ajouter la Barre d'Outils Yahoo! CCleaner
Puis lance le nettoyage, puis fais chercher des erreurs et sauvegardes si tu le souhaites

++++++++++++++

Télécharge OTMoveIt

Sauvegarde-le sur le Bureau

Séléctionne l'encadré ci-dessous

C:\WINDOWS\system32\ddcywvw.dll
C:\WINDOWS\system32\ddcdeca.dll
C:\WINDOWS\system32\cbxvutq.dll
C:\Documents and Settings\amandine\z.dat
C:\Documents and Settings\amandine\x.dat


Lance maintenant OTMoveIt .

Deux cadres apparaissent , clique droit sur le cadre de gauche , puis colle l'encadré ci desssus.
Et clique sur Movelt !

Si le programme te demande de redemarrer, accepte.

Poste le rapport qui se trouve dans : C:\_OTMoveIt\MovedFiles\date de création!

NOTE : Si tu obtiens un message comme quoi le rapport ne peut pas être créé, copie/colle ce qui apparaît dans la colonne droite de l’outil.


+++++++++++++++

Désinstalle avast, redémarre et supprime ~~>C:\Program Files\Alwil Software

Passe un coup de Ccleaner.

Télécharge et installe Antivir. (tuto)
Pourquoi changer ? Avast vs Antivir
Vérifie qu’il soit bien à jour ! Fais une analyse complète, poste le rapport.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   10-11-2007 à 23:43:02
- 0 +

Bah je pense que j'ai fait ce que tu m'as dit... :s

DllUnregisterServer procedure not found in C:\WINDOWS\system32\ddcywvw.dll
C:\WINDOWS\system32\ddcywvw.dll NOT unregistered.
C:\WINDOWS\system32\ddcywvw.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ddcdeca.dll
C:\WINDOWS\system32\ddcdeca.dll NOT unregistered.
C:\WINDOWS\system32\ddcdeca.dll moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\cbxvutq.dll
C:\WINDOWS\system32\cbxvutq.dll NOT unregistered.
C:\WINDOWS\system32\cbxvutq.dll moved successfully.
C:\Documents and Settings\amandine\z.dat moved successfully.
C:\Documents and Settings\amandine\x.dat moved successfully.

Created on 11/10/2007 23:38:20

Répondre à kontrastt
kontrastt   11-11-2007 à 15:15:12
- 0 +

Le rapport d'Antivir est suuuuuuper long est apparement je peux pas tout copier en entier... :s

Répondre à kontrastt
XmichouX   11-11-2007 à 18:05:45
- 0 +

Repasse une fois antivir alors ;)
Sinon tu peux répondre à cette question ? :

Citation :

Va dans C:\Program Files\Windows Media Player\, dis moi si tu vois ceci : ~~> meqosawih Dossier ou fichier ? Si fichier, donne moi l'extension.



Télécharge sur ton bureau : Clean (de Malekal)
Dézippe le sur ton bureau. Double-clic sur ce dossier clean.
Double-clic sur clean.cmd. Cela va ouvrir une fenêtre noire.
Un menu va apparaître, choisis l'option 1 puis entrée. Ensuite appuies sur une touche comme il te sera demandé et poste le rapport ici.
Le rapport se trouve ici : C:\rapport_clean.txt
Tuto

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   11-11-2007 à 20:26:41
- 0 +

Ah oui pardon!! non je vois ce fichier nulle part.

AntiVir PersonalEdition Classic
Report file date: dimanche 11 novembre 2007 15:14

Scanning for 923375 virus strains and unwanted programs.

Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Username: SYSTEM
Computer name: FAGARD-TY8UX9Q1

Version information:
BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:50:40
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 10:50:40
ANTIVIR2.VDF : 7.0.0.172 1092608 Bytes 05/11/2007 10:50:40
ANTIVIR3.VDF : 7.0.0.197 104960 Bytes 09/11/2007 10:50:40
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 11/11/2007 10:50:44
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: dimanche 11 novembre 2007 15:14

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'iexplore.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'usnsvc.exe' - '1' Module(s) have been scanned
Scan process 'WLLoginProxy.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'MSASCui.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'MsMpEng.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
29 processes with 29 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '26' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
Begin scan in 'F:\' <JP>


End of the scan: dimanche 11 novembre 2007 18:36
Used time: 3:22:55 min

The scan has been done completely.

2732 Scanning directories
131402 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
131402 Files not concerned
610 Archives were scanned
1 Warnings
0 Notes

Répondre à kontrastt
XmichouX   11-11-2007 à 20:33:04
- 0 +

Bien c'est clean ;)
Et après faire ça, tu vois le fichier/dossier ? :

Aller dans poste de travail>outils>option des dossiers>affichage>afficher les fichiers et dossiers cachés. - - > Appliquer - - > OK

Aller dans poste de travail>outils>option des dossiers>affichage>décocher masquer les fichiers protégés du système d’exploitation. - - > Appliquer - - > OK
(Tu recoches après)


Attends le rapport clean ;)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   11-11-2007 à 21:08:28
- 0 +

Aaah ça fait plaisir^^ Merci bcp =)
Non je le vois toujours pas!

11/11/2007 a 20:27:38,03

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32

*** Recherche des fichiers dans C:\Program Files
*** Fin du rapport !

Répondre à kontrastt
XmichouX   11-11-2007 à 21:10:49
- 0 +

Reposte un Hijackthis ;)

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   11-11-2007 à 22:05:02
- 0 +

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:33, on 11/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {6F9E0C1F-EE94-40CC-AEB1-692ADFA01E5B} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FDAD8937-3274-493F-9D40-961DE0BDF23A} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/229?751cfb45a9b24940822a47e497a13ba0
O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\Windows Live Toolbar\Components\fr-fr\msntabres.dll.mui/230?751cfb45a9b24940822a47e497a13ba0
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5078 bytes

Répondre à kontrastt
XmichouX   11-11-2007 à 23:07:11
- 0 +

Bien.

Relance HiJackThis, do a system scan only, coche ces lignes :

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: (no name) - {6F9E0C1F-EE94-40CC-AEB1-692ADFA01E5B} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FDAD8937-3274-493F-9D40-961DE0BDF23A} - (no file)


Puis Fix Checked !



Désinstalle, supprime tous les logiciels utilisés pour la désinfection ainsi que les dossiers créés correspondants.. Garde ccleaner, avg et antivir si nous les avons installé..
Rapporte ton infection sur Malware Complaints
Tuto
Ton infection :Vundo

Toujours des problèmes ?
Bonne soirée.

------------------------------ >> Centre de Formation Helpers <<
 Répondre à XmichouX
kontrastt   12-11-2007 à 08:25:49
- 0 +

Non, plus aucun problème!
Merci de ta patience et de m'avoir consacré de ton temps =)

Bonne journée!

Répondre à kontrastt
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > [Résolu] PSW.x-vir TROJAN
Aller à :

Il y a 2817 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,362 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens