Suppression de Privacy Danger

Thyr

18 Avril 2008 16:44:22

Bonsoir Bonsoir,

J'ai récupéré je ne sais où Privacy Danger et son magnifique fond d'écran rougeâte et j'aimerais fortement m'en débarasser.

J'ai remarqué que c'était impossible juste en supprimant les fichiers incriminés donc je demande votre aide.

J'ai vu quelques sujets disants qu'il fallait faire faire un rapport par SmitFraudix mais je n'arrive pas à comprendre si il y a une procédure à faire ou si chaque cas doit être traité de façon différente...

Et donc bien sûr à part le magnifique fond d'écran, j'ai des fenêtes tombant sur des téléchargement d'antivirus douteux, des lancements d'executions d'Active X et des sites de poker en ligne.

Voili VOilou

En espérant avoir été le plus précis et clair possible. Je vous remercie d'avance pour l'aider que vous pourriez m'apporter.

Thyr

Autres pages sur : suppression privacy danger

| Etre averti des réponses
| Alerter

Répondre à Thyr

Angeldark

18 Avril 2008 16:51:35

Bonjour,

Télécharge Smitfraudfix (de S!ri).
Enregistre-le sur ton bureau.
Lance SmitfraudFix.exe (le .exe peut ne pas apparaitre).
Choisis l'Option 1 (Recherche)
Poste le premier rapport ici.

**Si le lien ne fonctionne pas, clique ici**

| Alerter

Répondre à Angeldark

Thyr

18 Avril 2008 16:58:33

Voilà :

SmitFraudFix v2.314

Rapport fait à 18 : 54 : 06,78, ven. 18-04-2008
Executé à partir de
C:\Documents and Settings\Aldaris & Cie\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINNT\system32\PnkBstrA.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\All Users\Application Data\yzivmbkd\utktsled.exe
C:\Program Files\Canon\MultiPASS4\monitr32.exe
C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\notepad.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
C:\WINNT\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ALDARI~1\Favoris

C:\DOCUME~1\ALDARI~1\Favoris\Error Cleaner.url PRESENT !
C:\DOCUME~1\ALDARI~1\Favoris\Privacy Protector.url PRESENT !
C:\DOCUME~1\ALDARI~1\Favoris\Spyware?Malware Protection.url PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: ogxtsepr.dll
SSODL: ogxtsepr - {06FC09B2-C47F-4A39-B0C6-20546D3CAD64}

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="MsgPlusLoader.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom USB RNDIS Driver
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Au fait, je laisse mon antivirus (avast) activé ?

| Alerter

Répondre à Thyr

Angeldark

18 Avril 2008 17:07:15

Re,

Redémarre en mode sans échec

Lance SmitfraudFix.exe et choisis cette fois l'Option 2 et réponds oui à la ou les questions.
Sauvegarde le rapport sur ton Bureau.

Redémarre normalement.

Poste les rapports Hijackthis et SmitfraudFix.

| Alerter

Répondre à Angeldark

Thyr

18 Avril 2008 17:34:44

Re,

Alors, j'ai redéramarré en mode sans echec et le rapport est donc :

SmitFraudFix v2.314

Rapport fait à 19 : 22 : 42,87, ven. 18-04-2008
Executé à partir de
C:\Documents and Settings\Aldaris & Cie\Bureau\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
212.162.52.233 irc.westwood.com
212.162.52.233 servserv.westwood.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINNT\ogxtsepr.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\DOCUME~1\ALDARI~1\Favoris\Error Cleaner.url supprimé
C:\DOCUME~1\ALDARI~1\Favoris\Privacy Protector.url supprimé
C:\DOCUME~1\ALDARI~1\Favoris\Spyware?Malware Protection.url supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDC8095C-F37D-4597-AB3B-E075E858A944}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

Mais par contre, Hijackthis ne se lance pas il produit un erreur et est fermé par Windows

| Alerter

Répondre à Thyr

Angeldark

18 Avril 2008 17:43:49

Quelle erreur ?

| Alerter

Répondre à Angeldark

Thyr

18 Avril 2008 17:46:28

HiKackThis.exe a généré des erreurs et sera fermé par WIndows.
VOus devez redémarrer le programme

Un journal des erreur est en cours de création

ce message d'affiche dès que je lance.

Edition : En le lançant directement dans son dossier, j'ai réussi à lui faire faire un rapport (cela dit il plante toujours après)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19 : 46 : 43, on 18-04-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINNT\system32\PnkBstrA.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\All Users\Application Data\yzivmbkd\utktsled.exe
C:\Program Files\Canon\MultiPASS4\monitr32.exe
C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\rundll32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Aldaris & Cie\Bureau\hijackthis_hijackthis_2.02_anglais_17891.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=C:\WESTWOOD\REDALERT\INSTICON.EXE C:\WESTWOOD\REDALERT\INSTICON.EXE
O1 - Hosts: 212.162.52.233 irc.westwood.com
O1 - Hosts: 212.162.52.233 servserv.westwood.com
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: sgoblxtm - {54CF4CA2-C46C-4B5C-8DC5-0C0D42ECD69E} - C:\DOCUME~1\ALDARI~1\LOCALS~1\Temp\ac8zt2\sgoblxtm.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ReproGAGD] C:\WINNT\System32\DualAn.exe
O4 - HKLM\..\Run: [monitr32] C:\Program Files\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [vqwtwncm] C:\WINNT\system32\dyxmurik.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [eCarteBleue-LP-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [7c944555] rundll32.exe "C:\WINNT\system32\talgqffn.dll",b
O4 - HKLM\..\Run: [BM7fa776c9] Rundll32.exe "C:\WINNT\system32\mhejlran.dll",s
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [hufhyefy] C:\WINNT\system32\qxqbyfon.exe
O4 - HKLM\..\Policies\Explorer\Run: [1e9G851Drq] C:\Documents and Settings\All Users\Application Data\yzivmbkd\utktsled.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: ubisoft register.lnk = C:\Program Files\Ubi Soft\Register\schedule.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://www.msi.com.tw
O15 - Trusted Zone: http://mythrion.free.fr
O15 - Trusted Zone: http://teamcis.xooit.fr
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O21 - SSODL: dsktbwfe - {320AEC04-81C4-497C-8A70-1F1BBFFCDB19} - C:\WINNT\dsktbwfe.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MpService - Canon Inc - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\System32\UAService7.exe

--
End of file - 8582 bytes

| Alerter

Répondre à Thyr

Angeldark

18 Avril 2008 19:05:01

Re,

[#ff0000]Désactive tes protections résidentes (antivirus, Spybot...) ![/#f]

Télécharge Combofix ([#ff0000]sUBs[/#f]) sur ton Bureau.

Double clique sur combofix.exe afin de le lancer.

Lorsque le scan sera complété, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

| Alerter

Répondre à Angeldark

Thyr

19 Avril 2008 11:10:26

Bonjour bonjour,

ça fait 2 fois que je lance combofix et ça va jusqu'à "terminé étape 3" puis le pc plante et m'affiche un écran bleu avec "début du vidage de la mémoire cache"

Pour être plus clair, c'est ça :
http://pix.nofrag.com/a/a/d/ea7a25b90599001f43c7e0a1ac4...

| Alerter

Répondre à Thyr

Angeldark

19 Avril 2008 11:32:15

Tu peux essayer en sans échec ?

| Alerter

Répondre à Angeldark

Thyr

19 Avril 2008 15:31:16

Re,

Dsl pour le retard, j'ai du partir...

Donc, en mode sans echec c'est passé et voici le rapport :

ComboFix 08-04-18.3 - Ordinateur de Bureau 2008-04-19 17:15:26.6 - NTFSx86 MINIMAL
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.414 [GMT 2:00]
Endroit: C:\Documents and Settings\Aldaris & Cie\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Documents and Settings\Aldaris & Cie\Application Data\macromedia\Flash Player\#SharedObjects\94U5VMN3\www.broadcaster.com
C:\Documents and Settings\Aldaris & Cie\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Documents and Settings\Aldaris & Cie\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\WINNT\pskt.ini
C:\WINNT\system32\baxmeatx.dll
C:\WINNT\system32\bbnnrdqq.ini
C:\WINNT\system32\BLTwycfe.ini
C:\WINNT\system32\BLTwycfe.ini2
C:\WINNT\system32\efcywTLB.dll
C:\WINNT\system32\geBuULef.dll
C:\WINNT\system32\iifDWMEu.dll
C:\WINNT\system32\mhejlran.dll
C:\WINNT\system32\nffqglat.ini
C:\WINNT\system32\njokknnl.dll
C:\WINNT\system32\oafotsbt.dll
C:\WINNT\system32\othknhpj.dll
C:\WINNT\system32\pqwwwybd.dll
C:\WINNT\system32\qvfoorlw.ini
C:\WINNT\system32\rxfqooht.dll
C:\WINNT\system32\tdecxnrh.dll
C:\WINNT\system32\wbncfqeb.ini
C:\WINNT\system32\yaywurpn.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip

((((((((((((((((((((((((((((( Fichiers créés 2008-03-19 to 2008-04-19 ))))))))))))))))))))))))))))))))))))
.

2008-04-19 17:15 . 08-04-19 17:15 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_19c.dat
2008-04-19 14:10 . 08-04-19 14:10 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_408.dat
2008-04-19 14:09 . 08-04-19 14:09 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_228.dat
2008-04-19 14:00 . 08-04-19 14:00 98,304 --a------ C:\WINNT\system32\edwfmdkl.exe
2008-04-19 13:58 . 08-04-19 13:58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_244.dat
2008-04-18 23:20 . 08-04-19 13:43 554,410 ---h----- C:\WINNT\ShellIconCache
2008-04-18 19:29 . 08-04-18 19:29 <DIR> d-------- C:\Program Files\Trend Micro
2008-04-18 18:19 . 08-04-18 19:22 3,718 --a------ C:\WINNT\system32\tmp.reg
2008-04-16 13:59 . 08-04-16 13:59 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-04-16 13:59 . 08-04-16 13:59 1,409 --a------ C:\WINNT\QTFont.for
2008-04-16 13:03 . 08-04-16 13:03 55 --a------ C:\WINNT\LOVEGUN.INI
2008-04-15 21:55 . 08-04-15 21:55 <DIR> d-------- C:\Program Files\Ubi Soft
2008-04-15 21:55 . 03-02-13 14:45 115,016 --a------ C:\WINNT\system32\MSINET.OCX
2008-04-15 21:55 . 03-02-13 14:46 69,632 --a------ C:\WINNT\system32\xmltok.dll
2008-04-15 21:55 . 03-02-13 14:46 36,864 --a------ C:\WINNT\system32\xmlparse.dll
2008-04-15 21:55 . 03-02-13 14:45 29,184 --a------ C:\WINNT\system32\MSINET.oca
2008-04-15 21:55 . 03-02-13 14:46 26,064 --a------ C:\WINNT\system32\xmlinst.exe
2008-04-14 13:25 . 08-04-14 14:24 414 ---hs---- C:\WINNT\system32\edbojery.ini
2008-04-14 12:58 . 08-04-19 13:43 109,194 --a------ C:\WINNT\BM7fa776c9.xml
2008-04-13 18:59 . 08-04-13 18:59 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\TmpRecentIcons
2008-04-13 17:49 . 08-04-13 17:49 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\BOONTY
2008-04-13 17:48 . 08-04-13 19:55 <DIR> d-------- C:\Program Files\Téléchargeur de Prince of Persia - Les Sables du Temps
2008-04-13 17:48 . 08-04-13 17:48 <DIR> d-------- C:\Program Files\Fichiers communs\BOONTY Shared
2008-04-13 17:48 . 08-04-13 17:48 <DIR> d-------- C:\Program Files\BoontyGames
2008-04-13 17:48 . 08-04-13 17:48 <DIR> d-------- C:\Program Files\Boonty
2008-04-13 17:14 . 08-04-13 17:14 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\yzivmbkd
2008-04-13 17:14 . 08-04-13 15:08 81,920 --a------ C:\WINNT\spnkfwad.exe
2008-04-13 14:05 . 08-04-13 14:05 <DIR> d-------- C:\Program Files\Fichiers communs\Corel
2008-04-13 14:05 . 08-04-13 14:05 <DIR> d-------- C:\Program Files\Corel
2008-04-12 21:18 . 08-04-12 22:31 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\codeblocks
2008-04-12 14:30 . 08-04-12 14:30 <DIR> d-------- C:\Program Files\Fichiers communs\SpellEx
2008-04-12 13:51 . 04-03-30 16:27 29,184 -ra------ C:\WINNT\system32\drivers\rndismpk.sys
2008-04-12 13:51 . 04-03-30 16:27 13,824 -ra------ C:\WINNT\system32\drivers\usb8023k.sys
2008-04-12 13:36 . 08-04-12 14:30 <DIR> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-12 13:23 . 04-03-24 18:47 49,536 -ra------ C:\WINNT\system32\drivers\tiehdusb.sys
2008-04-12 13:09 . 08-04-12 14:14 <DIR> d-------- C:\Program Files\Temp
2008-04-12 13:09 . 08-04-12 13:09 <DIR> d-------- C:\MyTIData
2008-04-12 13:09 . 01-09-28 17:08 105,199 --a------ C:\WINNT\Restart.EXE
2008-04-11 17:49 . 08-04-11 17:49 363 --a------ C:\WINNT\fle.ini
2008-04-06 20:41 . 08-04-06 20:44 <DIR> d-------- C:\WINNT\uninstall\Freelancer Battle for Mankind
2008-04-06 20:41 . 08-04-06 20:41 <DIR> d-------- C:\WINNT\uninstall
2008-04-06 19:27 . 08-04-06 19:27 <DIR> d-------- C:\Program Files\DNA
2008-04-06 19:27 . 08-04-19 14:53 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\DNA
2008-04-06 19:27 . 08-04-12 12:51 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BitTorrent
2008-04-06 19:19 . 08-04-06 19:19 <DIR> d-------- C:\Program Files\GrabIt
2008-04-05 23:26 . 08-04-05 23:26 37 --a------ C:\WINNT\Viewer.ini
2008-04-05 23:22 . 08-04-05 23:22 1,286 --a------ C:\WINNT\SIERRA.IN~
2008-04-04 21:36 . 08-04-05 09:57 <DIR> d-------- C:\Program Files\AdVantage
2008-04-04 21:35 . 08-04-04 21:35 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BSplayer Pro
2008-04-04 21:35 . 08-04-05 09:56 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BSplayer
2008-04-04 20:10 . 08-04-05 13:55 <DIR> d-------- C:\Program Files\D-Fend
2008-04-02 18:07 . 08-04-15 11:40 <DIR> d-------- C:\Program Files\Mozilla Thunderbird
2008-04-02 18:07 . 08-04-02 18:07 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\Thunderbird
2008-03-20 18:48 . 08-03-20 18:48 <DIR> d-------- C:\Program Files\Traceur
2008-03-20 18:41 . 08-03-20 18:41 <DIR> d-------- C:\WINDOWS
2008-03-20 18:41 . 08-03-20 18:41 <DIR> d-------- C:\Gdmaths
2008-03-20 18:31 . 08-03-20 18:31 1,287 --a------ C:\WINNT\declic.dca
2008-03-20 18:31 . 08-03-20 18:31 37 --a------ C:\WINNT\declic.dci
2008-03-20 18:31 . 08-03-20 18:31 0 --a------ C:\WINNT\declic.dcb
2008-03-20 18:28 . 08-03-20 18:31 1,160 --a------ C:\WINNT\declic.ini
2008-03-20 18:19 . 08-03-20 18:19 <DIR> d-------- C:\Program Files\GEONExT
2008-03-20 17:45 . 08-03-20 17:45 <DIR> d-------- C:\Program Files\Minimath
2008-03-20 14:02 . 08-03-20 14:02 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\Design Science
2008-03-20 14:00 . 08-03-20 14:00 <DIR> d-------- C:\Program Files\MathType

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-17 19:44 --------- d-----w C:\Program Files\DOSBox-0.70
2008-04-15 19:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-14 14:19 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-04-14 14:15 --------- d-----w C:\Program Files\Norton AntiVirus
2008-04-14 14:09 --------- d-----w C:\Program Files\Symantec
2008-04-14 13:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-12 18:06 3,622 ----a-w C:\WINNT\system32\PerfStringBackup.Tmp
2008-04-12 15:24 --------- d-----w C:\Program Files\TI Education
2008-04-12 12:30 --------- d-----w C:\Program Files\Fichiers communs\TI Shared
2008-03-26 20:37 22,328 ----a-w C:\WINNT\system32\drivers\PnkBstrK.sys
2008-03-26 20:37 103,736 ----a-w C:\WINNT\system32\PnkBstrB.exe
2008-03-23 08:49 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-22 15:07 --------- d-----w C:\Program Files\Java
2008-03-20 10:22 1,644,208 ----a-w C:\WINNT\system32\WIN32K.SYS
2008-03-10 20:03 --------- d-----w C:\Documents and Settings\Aldaris & Cie\Application Data\Symantec
2008-02-29 21:30 107,888 ----a-w C:\WINNT\system32\CmdLineExt.dll
2008-02-28 22:25 --------- d-----w C:\Program Files\EA Games
2008-02-27 15:36 --------- d-----w C:\Program Files\Simulateur de conduite 3D Demo
2008-02-27 09:21 --------- d-----w C:\Program Files\RenEvo
2008-02-24 17:11 21,840 ----atw C:\WINNT\system32\SIntfNT.dll
2008-02-24 17:11 17,212 ----atw C:\WINNT\system32\SIntf32.dll
2008-02-24 17:11 12,067 ----atw C:\WINNT\system32\SIntf16.dll
2008-02-22 21:39 --------- d-----w C:\Program Files\Microsoft Games
2008-02-22 20:28 --------- d-----w C:\Program Files\Serious Sam 2
2008-02-22 14:23 --------- d-----w C:\Program Files\Elaborate Bytes
2008-02-21 15:57 66,872 ----a-w C:\WINNT\system32\PnkBstrA.exe
2008-02-21 11:37 --------- d-----w C:\Program Files\Tremulous
2008-02-20 20:46 4,608 ----a-w C:\WINNT\system32\w95inf32.dll
2008-02-20 20:46 2,272 ----a-w C:\WINNT\system32\w95inf16.dll
2008-02-19 17:09 236,304 ----a-w C:\WINNT\system32\GDI32.DLL
2008-02-15 14:26 581,120 ----a-w C:\WINNT\system32\WININET.DLL
2008-02-15 13:24 96,528 ----a-w C:\WINNT\system32\dnsrslvr.dll
2005-09-09 13:44 271 ---h--w C:\Program Files\desktop.ini
2005-09-09 13:44 22,115 ---h--w C:\Program Files\folder.htt
2002-08-02 00:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-07-26 23:06 479,232 ----a-w C:\Program Files\mozilla firefox\plugins\msvcm80.dll
2007-07-26 23:06 548,864 ----a-w C:\Program Files\mozilla firefox\plugins\msvcp80.dll
2007-07-26 23:06 626,688 ----a-w C:\Program Files\mozilla firefox\plugins\msvcr80.dll
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{54CF4CA2-C46C-4B5C-8DC5-0C0D42ECD69E}"= "C:\DOCUME~1\ALDARI~1\LOCALS~1\Temp\ac8zt2\sgoblxtm.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{54cf4ca2-c46c-4b5c-8dc5-0c0d42ecd69e}]
[HKEY_CLASSES_ROOT\sgoblxtm.1]
[HKEY_CLASSES_ROOT\TypeLib\{6D2ABF11-1C46-482A-9B98-1E7C6F823EA8}]
[HKEY_CLASSES_ROOT\sgoblxtm]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WebCamRT.exe"="" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [07-11-02 15:06 68856]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [08-04-11 12:10 288576]
"hufhyefy"="C:\WINNT\system32\qxqbyfon.exe" [ ]
"dffqtsjx"="C:\WINNT\system32\edwfmdkl.exe" [08-04-19 14:00 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 111888 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [06-10-22 13:22 7700480]
"nwiz"="nwiz.exe" [06-10-22 13:22 1622016 C:\WINNT\system32\nwiz.exe]
"ReproGAGD"="C:\WINNT\System32\DualAn.exe" [99-11-03 10:59 176128]
"monitr32"="C:\Program Files\Canon\MultiPASS4\monitr32.exe" [01-12-12 11:56 315392]
"MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe" [01-12-12 11:56 151552]
"vqwtwncm"="C:\WINNT\system32\dyxmurik.exe" [ ]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [05-08-31 20:25 180269]
"ToUcamVProperty"="C:\PROGRA~1\PHILIP~1\VProperty.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [06-01-08 18:57 98304]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [08-02-22 05:25 144784]
"NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [06-10-22 13:22 86016]
"SoundMan"="SOUNDMAN.EXE" [06-11-17 06:42 577536 C:\WINNT\soundman.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [08-03-29 19:37 79224]
"eCarteBleue-LP-P1"="C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" [05-12-13 16:37 200704]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [06-04-29 15:21 94208]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [08-01-11 23:16 39792]
"7c944555"="C:\WINNT\system32\talgqffn.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [02-08-02 02:00 20752 C:\WINNT\system32\internat.exe]
"NvMediaCenter"="C:\WINNT\System32\NVMCTRAY.DLL" [06-10-22 13:22 86016]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [07-10-23 23:18 443968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 21:05 189712]

C:\Documents and Settings\Aldaris & Cie\Menu D‚marrer\Programmes\D‚marrage\
ubisoft register.lnk - C:\Program Files\Ubi Soft\Register\schedule.exe [2008-04-15 21:55:07 28672]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Device Detector 2.lnk - C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe [2004-03-27 21:06:02 94208]
Image Transfer.lnk - C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe [2004-05-08 17:19:59 73728]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"1e9G851Drq"= C:\Documents and Settings\All Users\Application Data\yzivmbkd\utktsled.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifDWMEu]
iifDWMEu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=MsgPlusLoader.dll

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINNT\system32\DRIVERS\SONYPVM1.SYS [00-05-27 04:37 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 21:05 ]
S1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [08-03-29 19:31 ]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [02-08-02 02:00 ]
S2 aswFsBlk;aswFsBlk;C:\WINNT\system32\DRIVERS\aswFsBlk.sys [08-03-29 19:35 ]
S2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [08-01-17 17:34 ]
S2 cis1284;cis1284;C:\WINNT\System32\drivers\cis1284.sys [01-09-03 11:02 ]
S2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINNT\system32\inetsrv\inetinfo.exe [03-06-19 21:05 ]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [08-04-13 17:48 ]
S3 C-Dilla;C-Dilla;C:\WINNT\system32\drivers\CDANT.SYS [03-04-01 11:23 ]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINNT\system32\DRIVERS\camdrv21.sys []
S3 DMSKSSRh;DMSKSSRh;C:\DOCUME~1\ALDARI~1\LOCALS~1\Temp\DMSKSSRh.sys []
S3 pfsvgae;pfsvgae;C:\DOCUME~1\MSI1\LOCALS~1\Temp\pfsvgae.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 TICalc;TICalc;C:\WINNT\system32\drivers\TICalc.sys [01-01-29 16:41 ]
S3 VVRUSB;VVRUSB Device;C:\WINNT\system32\DRIVERS\VVRUSB.sys [02-01-20 10:02 ]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-19 17:19:45
Windows 5.0.2195 Service Pack 4 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 2008-04-19 17:22:42
ComboFix-quarantined-files.txt 2008-04-19 15:21:53

Pre-Run: 2,563,386,880 octets libres
Post-Run: 2,561,716,736 octets libres

234 --- E O F --- 2008-04-12 18:06:20

------------------------------

Le fond d'écran ROuge ne s'affiche plus mais les pubs et installation sans prévenir sont de retour...
C'est grave docteur ?

| Alerter

Répondre à Thyr

Angeldark

19 Avril 2008 19:12:33

Re,

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".

Afin de lancer la recherche, clic sur"Rechercher".

Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
-- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
[#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

AIDE : Tuto en images sur MBAM

| Alerter

Répondre à Angeldark

Thyr

20 Avril 2008 08:27:22

Re,

Alors après le test MBAM a donné ceci sansa voir besoin de redémarrer le système :

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 656

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 192127
Temps écoulé: 2 hour(s), 39 minute(s), 50 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\sgoblxtm.bebp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dffqtsjx (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\1e9G851Drq (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINNT\system32\edwfmdkl.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\yzivmbkd\utktsled.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINNT\system32\iifDWMEu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINNT\system32\rxfqooht.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINNT\spnkfwad.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINNT\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

| Alerter

Répondre à Thyr

Angeldark

20 Avril 2008 14:22:13

Refais un scan Combofix

| Alerter

Répondre à Angeldark

Thyr

21 Avril 2008 19:15:08

re !

ComboFix 08-04-18.3 - Ordinateur de Bureau 21-04-2008 17 : 29 : 50.7 - NTFSx86 MINIMAL
Microsoft Windows 2000 Professionnel 5.0.2195.4.1252.1.1036.18.415 [GMT 2:00]
Endroit: C:\Documents and Settings\Aldaris & Cie\Bureau\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-21 to 2008-04-21 ))))))))))))))))))))))))))))))))))))
.

2008-04-21 17:29 . 21-04-08 17 : 29 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_19c.dat
2008-04-21 11:45 . 21-04-08 11 : 45 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3fc.dat
2008-04-21 11:39 . 21-04-08 11 : 39 43,520 --a------ C:\WINNT\system32\CmdLineExt03.dll
2008-04-20 22:56 . 21-04-08 17 : 16 742,432 ---h----- C:\WINNT\ShellIconCache
2008-04-20 22:41 . 20-04-08 22 : 41 <DIR> d-------- C:\Program Files\UltraISO
2008-04-20 22:41 . 20-04-08 22 : 41 <DIR> d-------- C:\Program Files\Fichiers communs\EZB Systems
2008-04-20 22:20 . 20-04-08 22 : 20 41 ---hs---- C:\Documents and Settings\All Users\Application Data\.zreglib
2008-04-20 22:18 . 20-04-08 22 : 18 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3f4.dat
2008-04-20 22:13 . 20-04-08 22 : 13 <DIR> d-------- C:\Program Files\SlySoft
2008-04-20 10:13 . 20-04-08 10 : 13 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_230.dat
2008-04-19 22:29 . 19-04-08 22 : 29 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\Malwarebytes
2008-04-19 22:26 . 19-04-08 22 : 27 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-19 22:26 . 19-04-08 22 : 26 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-19 21:01 . 19-04-08 21 : 01 <DIR> d-------- C:\Program Files\CCleaner
2008-04-19 17:25 . 19-04-08 17 : 25 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_404.dat
2008-04-19 14:10 . 19-04-08 14 : 10 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_408.dat
2008-04-19 14:09 . 19-04-08 14 : 09 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_228.dat
2008-04-19 13:58 . 19-04-08 13 : 58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_244.dat
2008-04-18 19:29 . 18-04-08 19 : 29 <DIR> d-------- C:\Program Files\Trend Micro
2008-04-18 18:19 . 18-04-08 19 : 22 3,718 --a------ C:\WINNT\system32\tmp.reg
2008-04-16 13:59 . 16-04-08 13 : 59 54,156 --ah----- C:\WINNT\QTFont.qfn
2008-04-16 13:59 . 16-04-08 13 : 59 1,409 --a------ C:\WINNT\QTFont.for
2008-04-16 13:03 . 16-04-08 13 : 03 55 --a------ C:\WINNT\LOVEGUN.INI
2008-04-15 21:55 . 15-04-08 21 : 55 <DIR> d-------- C:\Program Files\Ubi Soft
2008-04-15 21:55 . 13-02-03 14 : 45 115,016 --a------ C:\WINNT\system32\MSINET.OCX
2008-04-15 21:55 . 13-02-03 14 : 46 69,632 --a------ C:\WINNT\system32\xmltok.dll
2008-04-15 21:55 . 13-02-03 14 : 46 36,864 --a------ C:\WINNT\system32\xmlparse.dll
2008-04-15 21:55 . 13-02-03 14 : 45 29,184 --a------ C:\WINNT\system32\MSINET.oca
2008-04-15 21:55 . 13-02-03 14 : 46 26,064 --a------ C:\WINNT\system32\xmlinst.exe
2008-04-14 13:25 . 14-04-08 14 : 24 414 ---hs---- C:\WINNT\system32\edbojery.ini
2008-04-14 12:58 . 19-04-08 13 : 43 109,194 --a------ C:\WINNT\BM7fa776c9.xml
2008-04-13 18:59 . 13-04-08 18 : 59 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\TmpRecentIcons
2008-04-13 17:49 . 13-04-08 17 : 49 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\BOONTY
2008-04-13 17:48 . 13-04-08 19 : 55 <DIR> d-------- C:\Program Files\Téléchargeur de Prince of Persia - Les Sables du Temps
2008-04-13 17:48 . 13-04-08 17 : 48 <DIR> d-------- C:\Program Files\Fichiers communs\BOONTY Shared
2008-04-13 17:48 . 13-04-08 17 : 48 <DIR> d-------- C:\Program Files\BoontyGames
2008-04-13 17:48 . 13-04-08 17 : 48 <DIR> d-------- C:\Program Files\Boonty
2008-04-13 17:14 . 20-04-08 10 : 11 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\yzivmbkd
2008-04-13 14:05 . 13-04-08 14 : 05 <DIR> d-------- C:\Program Files\Fichiers communs\Corel
2008-04-13 14:05 . 13-04-08 14 : 05 <DIR> d-------- C:\Program Files\Corel
2008-04-12 21:18 . 12-04-08 22 : 31 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\codeblocks
2008-04-12 14:30 . 12-04-08 14 : 30 <DIR> d-------- C:\Program Files\Fichiers communs\SpellEx
2008-04-12 13:51 . 30-03-04 16 : 27 29,184 -ra------ C:\WINNT\system32\drivers\rndismpk.sys
2008-04-12 13:51 . 30-03-04 16 : 27 13,824 -ra------ C:\WINNT\system32\drivers\usb8023k.sys
2008-04-12 13:36 . 12-04-08 14 : 30 <DIR> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-12 13:23 . 24-03-04 18 : 47 49,536 -ra------ C:\WINNT\system32\drivers\tiehdusb.sys
2008-04-12 13:09 . 12-04-08 14 : 14 <DIR> d-------- C:\Program Files\Temp
2008-04-12 13:09 . 12-04-08 13 : 09 <DIR> d-------- C:\MyTIData
2008-04-12 13:09 . 28-09-01 17 : 08 105,199 --a------ C:\WINNT\Restart.EXE
2008-04-11 17:49 . 11-04-08 17 : 49 363 --a------ C:\WINNT\fle.ini
2008-04-06 20:41 . 06-04-08 20 : 44 <DIR> d-------- C:\WINNT\uninstall\Freelancer Battle for Mankind
2008-04-06 20:41 . 06-04-08 20 : 41 <DIR> d-------- C:\WINNT\uninstall
2008-04-06 19:27 . 06-04-08 19 : 27 <DIR> d-------- C:\Program Files\DNA
2008-04-06 19:27 . 21-04-08 17 : 16 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\DNA
2008-04-06 19:27 . 12-04-08 12 : 51 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BitTorrent
2008-04-06 19:19 . 06-04-08 19 : 19 <DIR> d-------- C:\Program Files\GrabIt
2008-04-05 23:26 . 05-04-08 23 : 26 37 --a------ C:\WINNT\Viewer.ini
2008-04-05 23:22 . 05-04-08 23 : 22 1,286 --a------ C:\WINNT\SIERRA.IN~
2008-04-04 21:36 . 05-04-08 09 : 57 <DIR> d-------- C:\Program Files\AdVantage
2008-04-04 21:35 . 04-04-08 21 : 35 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BSplayer Pro
2008-04-04 21:35 . 05-04-08 09 : 56 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\BSplayer
2008-04-04 20:10 . 05-04-08 13 : 55 <DIR> d-------- C:\Program Files\D-Fend
2008-04-02 18:07 . 15-04-08 11 : 40 <DIR> d-------- C:\Program Files\Mozilla Thunderbird
2008-04-02 18:07 . 02-04-08 18 : 07 <DIR> d-------- C:\Documents and Settings\Aldaris & Cie\Application Data\Thunderbird

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 08:47 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-17 19:44 --------- d-----w C:\Program Files\DOSBox-0.70
2008-04-14 14:19 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-04-14 14:15 --------- d-----w C:\Program Files\Norton AntiVirus
2008-04-14 14:09 --------- d-----w C:\Program Files\Symantec
2008-04-14 13:49 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-12 18:06 3,622 ----a-w C:\WINNT\system32\PerfStringBackup.Tmp
2008-04-12 15:24 --------- d-----w C:\Program Files\TI Education
2008-04-12 12:30 --------- d-----w C:\Program Files\Fichiers communs\TI Shared
2008-03-26 20:37 22,328 ----a-w C:\WINNT\system32\drivers\PnkBstrK.sys
2008-03-26 20:37 103,736 ----a-w C:\WINNT\system32\PnkBstrB.exe
2008-03-23 08:49 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-03-22 15:07 --------- d-----w C:\Program Files\Java
2008-03-20 16:48 --------- d-----w C:\Program Files\Traceur
2008-03-20 16:19 --------- d-----w C:\Program Files\GEONExT
2008-03-20 15:45 --------- d-----w C:\Program Files\Minimath
2008-03-20 12:02 --------- d-----w C:\Documents and Settings\Aldaris & Cie\Application Data\Design Science
2008-03-20 12:00 --------- d-----w C:\Program Files\MathType
2008-03-20 10:22 1,644,208 ----a-w C:\WINNT\system32\WIN32K.SYS
2008-03-10 20:03 --------- d-----w C:\Documents and Settings\Aldaris & Cie\Application Data\Symantec
2008-02-29 21:30 107,888 ----a-w C:\WINNT\system32\CmdLineExt.dll
2008-02-28 22:25 --------- d-----w C:\Program Files\EA Games
2008-02-27 15:36 --------- d-----w C:\Program Files\Simulateur de conduite 3D Demo
2008-02-27 09:21 --------- d-----w C:\Program Files\RenEvo
2008-02-24 17:11 21,840 ----atw C:\WINNT\system32\SIntfNT.dll
2008-02-24 17:11 17,212 ----atw C:\WINNT\system32\SIntf32.dll
2008-02-24 17:11 12,067 ----atw C:\WINNT\system32\SIntf16.dll
2008-02-22 21:39 --------- d-----w C:\Program Files\Microsoft Games
2008-02-22 20:28 --------- d-----w C:\Program Files\Serious Sam 2
2008-02-22 14:23 --------- d-----w C:\Program Files\Elaborate Bytes
2008-02-21 15:57 66,872 ----a-w C:\WINNT\system32\PnkBstrA.exe
2008-02-21 11:37 --------- d-----w C:\Program Files\Tremulous
2008-02-20 20:46 4,608 ----a-w C:\WINNT\system32\w95inf32.dll
2008-02-20 20:46 2,272 ----a-w C:\WINNT\system32\w95inf16.dll
2008-02-19 17:09 236,304 ----a-w C:\WINNT\system32\GDI32.DLL
2008-02-15 14:26 581,120 ----a-w C:\WINNT\system32\WININET.DLL
2008-02-15 13:24 96,528 ----a-w C:\WINNT\system32\dnsrslvr.dll
2005-09-09 13:44 271 ---h--w C:\Program Files\desktop.ini
2005-09-09 13:44 22,115 ---h--w C:\Program Files\folder.htt
2002-08-02 00:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
2007-07-26 23:06 479,232 ----a-w C:\Program Files\mozilla firefox\plugins\msvcm80.dll
2007-07-26 23:06 548,864 ----a-w C:\Program Files\mozilla firefox\plugins\msvcp80.dll
2007-07-26 23:06 626,688 ----a-w C:\Program Files\mozilla firefox\plugins\msvcr80.dll
.

((((((((((((((((((((((((((((( snapshot@sam. 2008-04-19_17.21.43.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-02-16 00:57:04 34,760 ----a-w C:\WINNT\system32\drivers\ElbyCDFL.sys
- 2008-04-19 12:53:43 204,992 ----a-w C:\WINNT\system32\inetsrv\MetaBase.bin
+ 2008-04-21 15:17:31 204,987 ----a-w C:\WINNT\system32\inetsrv\MetaBase.bin
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WebCamRT.exe"="" []
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [02-11-07 15 : 06 68856]
"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [11-04-08 12 : 10 288576]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19-06-03 21 : 05 111888 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [22-10-06 13 : 22 7700480]
"nwiz"="nwiz.exe" [22-10-06 13 : 22 1622016 C:\WINNT\system32\nwiz.exe]
"ReproGAGD"="C:\WINNT\System32\DualAn.exe" [03-11-99 10 : 59 176128]
"monitr32"="C:\Program Files\Canon\MultiPASS4\monitr32.exe" [12-12-01 11 : 56 315392]
"MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe" [12-12-01 11 : 56 151552]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [31-08-05 20 : 25 180269]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [08-01-06 18 : 57 98304]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [22-02-08 05 : 25 144784]
"NvMediaCenter"="C:\WINNT\system32\NvMcTray.dll" [22-10-06 13 : 22 86016]
"SoundMan"="SOUNDMAN.EXE" [17-11-06 06 : 42 577536 C:\WINNT\soundman.exe]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [29-03-08 19 : 37 79224]
"eCarteBleue-LP-P1"="C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" [13-12-05 16 : 37 200704]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [29-04-06 15 : 21 94208]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11-01-08 23 : 16 39792]
"CloneCDTray"="C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" [28-09-06 21 : 21 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [02-08-02 02 : 00 20752 C:\WINNT\system32\internat.exe]
"NvMediaCenter"="C:\WINNT\System32\NVMCTRAY.DLL" [22-10-06 13 : 22 86016]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [23-10-07 23 : 18 443968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [19-06-03 21 : 05 189712]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Device Detector 2.lnk - C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe [2004-03-27 21:06:02 94208]
Image Transfer.lnk - C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe [2004-05-08 17:19:59 73728]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifDWMEu]
iifDWMEu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=MsgPlusLoader.dll

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);C:\WINNT\system32\DRIVERS\SONYPVM1.SYS [27-05-00 04 : 37 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19-06-03 21 : 05 ]
S1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [29-03-08 19 : 31 ]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [02-08-02 02 : 00 ]
S2 aswFsBlk;aswFsBlk;C:\WINNT\system32\DRIVERS\aswFsBlk.sys [29-03-08 19 : 35 ]
S2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [17-01-08 17 : 34 ]
S2 cis1284;cis1284;C:\WINNT\System32\drivers\cis1284.sys [03-09-01 11 : 02 ]
S2 SMTPSVC;Simple Mail Transfer Protocol (SMTP);C:\WINNT\system32\inetsrv\inetinfo.exe [19-06-03 21 : 05 ]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [13-04-08 17 : 48 ]
S3 C-Dilla;C-Dilla;C:\WINNT\system32\drivers\CDANT.SYS [01-04-03 11 : 23 ]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINNT\system32\DRIVERS\camdrv21.sys []
S3 DMSKSSRh;DMSKSSRh;C:\DOCUME~1\ALDARI~1\LOCALS~1\Temp\DMSKSSRh.sys []
S3 pfsvgae;pfsvgae;C:\DOCUME~1\MSI1\LOCALS~1\Temp\pfsvgae.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []
S3 TICalc;TICalc;C:\WINNT\system32\drivers\TICalc.sys [29-01-01 16 : 41 ]
S3 VVRUSB;VVRUSB Device;C:\WINNT\system32\DRIVERS\VVRUSB.sys [20-01-02 10 : 02 ]

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 17:34:35
Windows 5.0.2195 Service Pack 4 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès
Les fichiers cachés: 0

**************************************************************************
.
Temps d'accomplissement: 21-04-2008 17 : 37 : 06
ComboFix-quarantined-files.txt 2008-04-21 15:36:40
ComboFix2.txt 2008-04-19 15:22:43

Pre-Run: 1,782,906,368 octets libres
Post-Run: 2,020,381,184 octets libres

200 --- E O F --- 2008-04-12 18:06:20

| Alerter

Répondre à Thyr

Angeldark

21 Avril 2008 19:19:36

Reposte un rapport Hijackthis, on termine.

| Alerter

Répondre à Angeldark

Thyr

22 Avril 2008 09:18:00

Et voilà :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11 : 15 : 47, on 22-04-2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINNT\system32\nvsvc32.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINNT\system32\PnkBstrA.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\UAService7.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Canon\MultiPASS4\monitr32.exe
C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe
C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
C:\WINNT\system32\cidaemon.exe
C:\WINNT\system32\cidaemon.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F1 - win.ini: run=C:\WESTWOOD\REDALERT\INSTICON.EXE C:\WESTWOOD\REDALERT\INSTICON.EXE
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINNT\system32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {54CF4CA2-C46C-4B5C-8DC5-0C0D42ECD69E} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ReproGAGD] C:\WINNT\System32\DualAn.exe
O4 - HKLM\..\Run: [monitr32] C:\Program Files\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [eCarteBleue-LP-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" /dontopenmycards
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://www.msi.com.tw
O15 - Trusted Zone: http://mythrion.free.fr
O15 - Trusted Zone: http://teamcis.xooit.fr
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O20 - Winlogon Notify: iifDWMEu - iifDWMEu.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: MpService - Canon Inc - C:\Program Files\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINNT\system32\PnkBstrA.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINNT\System32\UAService7.exe

--
End of file - 8402 bytes

| Alerter

Répondre à Thyr

Angeldark

22 Avril 2008 09:40:38

Re,

Tu utilise le ligiciel Boonty ?

[#ff0000]Désactive tes protections résidentes (antivirus...) ![/#f]
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

File::
C:\WINNT\system32\edbojery.ini

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifDWMEu]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte précedemment copié.
Sauvegarde ce fichier sous le nom de CFScript.txt.

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
[#ff0000]NOTE : S'il n'y a pas de rédémarrage, poste quand même les rapports demandés.[/#f]

| Alerter

Répondre à Angeldark

Thyr

22 Avril 2008 09:52:50

Re,

Pour Boonty, en fait j'en ai aucune idée... C'est peut être quelqu'un chez moi qui l'a téléchargé un jour. Pourquoi ?

Le combofix, je le ferai cet après midi

| Alerter

Répondre à Thyr

Angeldark

22 Avril 2008 09:59:08

Il vaut mieux le désinstaller

| Alerter

Répondre à Angeldark

Thyr

22 Avril 2008 10:16:36

En fait, il était pas installé, c'est des fichiers qui trainent (ou qui trainaient plutôt)

Au fait, Hijackthis ne plante plus. :bounce:

Et quand je lance le combofix... avec le txt, il y a un message disant que ce n'est pas un script du registre.

| Alerter

Répondre à Thyr

Angeldark

22 Avril 2008 11:21:43

Citation :

Et quand je lance le combofix... avec le txt, il y a un message disant que ce n'est pas un script du registre.

Gné ?

| Alerter

Répondre à Angeldark

Thyr

22 Avril 2008 11:47:39

Il y a une fenêtre qui s'affiche :

| Alerter

Répondre à Thyr

Angeldark

22 Avril 2008 13:16:57

Cela doit venir du nom de la session "&".
Enregistre Combofix et CFScript à la racine de ton disque (C:\) afin de réaliser la procédure.

| Alerter

Répondre à Angeldark

Thyr

22 Avril 2008 13:49:25

Je viens d'essayer, cela ne fonctionne pas...

| Alerter

Répondre à Thyr

Angeldark

22 Avril 2008 14:46:39

Même erreur ?

| Alerter

Répondre à Angeldark

Thyr

27 Avril 2008 15:59:02

Re,

Dsl d'avoir disparu de la circulation pendant quelques jours, j'ai été un peu occupé.

Et effectivement, c'est la même erreur, même en mode sans echec

| Alerter

Répondre à Thyr

Angeldark

28 Avril 2008 12:20:38

Supprime ta version de Combofix puis recommence.

| Alerter

Répondre à Angeldark

Thyr

22 Mai 2008 20:45:22

Oulah, décidément... Encore dsl, avec le BAC qui approche, je zappe certains trucs...

Et donc, même en supprimant, ça marche pas...

| Alerter

Répondre à Thyr

Tom's guide dans le monde