Virus TR/Vundo [résolu]

[résolu] Virus TR/Vundo - Sécurité - Virus

Recherche Recherche
Règles Règles
Aide Aide

Dans la même thématique :

Ceci répond-il à votre question ? Oui | Non

Voir les posts : Par défaut Tous Les bonnes notes Les notes insuffisantes

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : [résolu] Virus TR/Vundo

AurelNico6 4

Profil : IDNaute

Plus d'informations

23-04-2008 à 20:16:48

Bonjour,
Je cherche de l'aide car je n'arrive pas à supprimer un cheval de troie. Après installation de Avira Antivir, et utilisation des solutions SmitFraufix puis Malvarebyte Antimalware comme préconisé dans ce forum, Avira continue de détecter ce meme virus à l'allumage de l'ordi.
Il est toujours situé au niveau de C:\Windows\system32.

Qu'est ce qu'une néophyute comme moi (!) peut faire de plus??
Merci pour votre aide!!

Message édité par AurelNico6 4 le 29-04-2008 à 12:56:19

Liens

AurelNico6 4

Profil : IDNaute

Plus d'informations

23-04-2008 à 21:50:48

Masquer

En complément du message précédent, voilà le rapport obtenu suite à l'utilisation de Malwarbyte Antimalware :

Malwarebytes' Anti-Malware 1.11
Version de la base de données: 672

Type de recherche: Examen complet (C:\|D:\|G:\|R:\|)
Eléments examinés: 109813
Temps écoulé: 5 hour(s), 2 minute(s), 7 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\geBtSljG.dll (Trojan.Vundo) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebtsljg (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{24b0edae-90f0-403f-8d26-20abc95cae94} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{dc17fc73-5e7b-4efb-86d4-5a9085869fd8} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7f58cb1f-66cb-4be9-a36e-6f68396dd40f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9ea6ad5c-c628-4431-90a7-89fe37f4bc02} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{2911b164-2814-4538-89c5-9e2aed039be3} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Tencent (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VirusIsolator (Rogue.VirusIsolator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b36f5e69-505f-4023-a801-95da5d455621} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dpevflbg.bmrd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\dpevflbg.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin (Trojan.Fakealert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\VirusIsolator.exe (Rogue.VirusIsolator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\vadokmxt (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\geBtSljG.dll (Trojan.Vundo) -> Delete on reboot.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP697\A0041026.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\rs.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\vadokmxt.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Merci de votre aide.

Sham_Rock

<@_@>
Profil : Helper

Plus d'informations

23-04-2008 à 23:01:51

Masquer

bonsoir et [:bienvenue]

Télécharge puis installe Hijackthis (Trend Micro)
Poste ensuite un rapport dans ta prochaine réponse.
AIDE : Comment utiliser Hijackthis v2.0.2

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\

AurelNico6 4

Profil : IDNaute

Plus d'informations

23-04-2008 à 23:07:38

Masquer

Bonsoir,

ça fait plaisir d'avoir une réponse,
voilà le rapport d'Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:05:43, on 23/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\AGRSMMSG.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
C:\PROGRA~1\MESSAG~1\StartMessager.exe
C:\Program Files\CA\eTrust Antivirus\InoRT.exe
C:\Program Files\CA\eTrust Antivirus\InoTask.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
R:\Programmes\iTunesHelper.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/Web [...] AA&LF=blue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: DVA Storm - {EA3D41AC-9334-48AD-B582-19F2ADEB5C6A} - C:\WINDOWS\qnmargolqgp.dll (file missing)
O2 - BHO: (no name) - {EF730EA6-6D5E-4CF4-9866-A68EBA0367AE} - C:\WINDOWS\system32\pmnnonkI.dll (file missing)
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\geBtSljG.dll
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: dpevflbg - {AEC33E75-FFF6-45F3-A755-684638294388} - C:\WINDOWS\dpevflbg.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "R:\Programmes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/downloa [...] ofupld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/micro [...] oader3.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: geBtSljG - C:\WINDOWS\SYSTEM32\geBtSljG.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 9651 bytes

Sham_Rock

<@_@>
Profil : Helper

Plus d'informations

23-04-2008 à 23:13:44

Masquer

re

désinstalle eTrust Antivirus

(Antivir te suffit)

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport :C: \Combofix.txt
clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

viens sur le forum et édition "coller"

ajoute un nouveau rapport Hijackthis.

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\

AurelNico6 4

Profil : IDNaute

Plus d'informations

24-04-2008 à 08:45:34

Masquer

Bonjour,

désolé pour la petite pause mais fallait que je dorme pour éviter de lancer l'ordi par la fenetre :-)
j'ai installé ComboFix sur l'ordi et l'ai lancé: au bout d'une heure et quart, il venait juste de terminer l'étape 29, je l'ai arreté pour venir vous demander si c'était normal qu'il mette autant de temps ? dois je le laisser tourner pendant des heures ou y'a t'il un problème avec mon ordi ?
de plus, en allumant mon ordi, c'était attaque sur attaque, antivir m'annonce toutes les 2 min qu'il a trouvé un virus sur C:\WINDOWS\system32\geBtSljG.dll,
voilà pour les dernières infos, j'attend votre avis pour relancer ComboFix,
merci.

Sham_Rock

<@_@>
Profil : Helper

Plus d'informations

24-04-2008 à 17:00:07

Masquer

bonjour

oui, relance ComboFix
pense à désactiver antivir le temps de le passer

piste le rapport

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\

AurelNico6 4

Profil : IDNaute

Plus d'informations

26-04-2008 à 11:03:57

Masquer

Bonjour,

voilà le rapport obtenu avec ComboFix (après une journée de scan), je mets à la suite un nouveau rapport Hijackthis:

ComboFix 08-04-22.5 - HP_Propriétaire 2008-04-25 9:22:20.4 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.199 [GMT 2:00]
Endroit: C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\geBtSljG.dll
C:\WINDOWS\system32\Iknonnmp.ini
C:\WINDOWS\system32\Iknonnmp.ini2
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-03-25 to 2008-04-25 ))))))))))))))))))))))))))))))))))))
.

2008-04-24 13:32 . 2008-04-24 13:32 1,160 --a------ C:\WINDOWS\mozver.dat
2008-04-23 23:04 . 2008-04-23 23:04 <REP> d-------- C:\Program Files\Trend Micro
2008-04-23 22:55 . 2008-04-23 22:55 <REP> d-------- C:\VundoFix Backups
2008-04-23 14:42 . 2008-04-23 14:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-23 14:42 . 2008-04-23 14:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-23 14:18 . 2005-01-01 12:21 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-04-23 14:18 . 2005-01-01 11:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-04-23 14:18 . 2005-01-01 11:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-04-23 14:18 . 2005-01-01 11:35 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-04-23 14:18 . 2005-01-01 11:35 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-04-23 14:18 . 2005-01-01 11:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-04-23 14:18 . 2005-02-22 20:36 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-04-23 14:18 . 2005-01-01 17:17 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-04-23 14:18 . 2005-01-01 14:07 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2008-04-23 14:18 . 2005-01-01 15:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\SampleView
2008-04-23 14:18 . 2005-01-01 12:12 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2008-04-23 14:18 . 2005-01-01 12:20 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-04-23 14:18 . 2008-04-23 14:18 <REP> d-------- C:\Documents and Settings\Administrateur
2008-04-23 14:18 . 2008-04-25 09:19 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-04-22 20:30 . 2008-04-25 09:21 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-22 20:30 . 2008-04-25 09:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-22 17:53 . 2008-04-22 17:53 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-04-22 17:06 . 2008-04-22 17:06 <REP> d-------- C:\Program Files\Avira
2008-04-22 17:06 . 2008-04-22 17:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-04-22 16:01 . 2008-04-23 14:21 4,628 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-22 15:36 . 2008-04-22 15:36 <REP> d-------- C:\Program Files\Enigma Software Group
2008-04-02 22:45 . 2008-04-02 22:45 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-04-02 22:44 . 2008-04-02 22:44 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-04-01 20:25 . 2008-04-01 20:25 <REP> d-------- C:\Program Files\Logitech
2008-04-01 20:25 . 2008-04-01 20:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2008-04-01 20:25 . 2008-04-01 20:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logishrd
2008-04-01 20:22 . 2008-04-01 20:25 <REP> d-------- C:\Program Files\Fichiers communs\logishrd
2008-04-01 20:22 . 2007-10-12 03:55 1,279,000 -ra------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-04-01 20:22 . 2007-10-12 04:00 490,008 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-04-01 20:22 . 2007-10-12 04:00 465,432 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-01 20:22 . 2007-10-12 03:57 416,280 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-01 20:22 . 2007-10-12 03:57 195,096 -ra------ C:\WINDOWS\system32\lvci1150.dll
2008-04-01 20:22 . 2007-10-12 03:11 59,500 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-01 20:22 . 2007-10-12 04:00 41,752 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-01 20:22 . 2007-10-12 03:18 21,138 -ra------ C:\WINDOWS\system32\Repository.reg
2008-04-01 10:59 . 2008-04-01 10:59 <REP> d-------- C:\temp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-24 06:47 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-04-02 20:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2007-10-12 21:34 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA3D41AC-9334-48AD-B582-19F2ADEB5C6A}]
C:\WINDOWS\qnmargolqgp.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF730EA6-6D5E-4CF4-9866-A68EBA0367AE}]
C:\WINDOWS\system32\pmnnonkI.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AEC33E75-FFF6-45F3-A755-684638294388}"= "C:\WINDOWS\dpevflbg.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{aec33e75-fff6-45f3-a755-684638294388}]
[HKEY_CLASSES_ROOT\dpevflbg.1]
[HKEY_CLASSES_ROOT\TypeLib\{2911B164-2814-4538-89C5-9E2AED039BE3}]
[HKEY_CLASSES_ROOT\dpevflbg]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Configuration de la neuf Box"="C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe" [2005-12-13 15:19 389120]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2005-01-01 11:09 32881]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-08-20 23:55 155648]
"HPHUPD06"="c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 19:53 49152]
"HPHmon06"="C:\WINDOWS\system32\hphmon06.exe" [2004-06-07 19:43 659456]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 14:03 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 14:03 81920]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43 233472]
"VTTimer"="VTTimer.exe" []
"SiSPower"="SiSPower.dll" [2004-09-24 10:49 49152 C:\WINDOWS\system32\SiSPower.dll]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 13:02 61440]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-09 22:10 344064]
"AlcxMonitor"="ALCXMNTR.EXE" [2004-09-07 21:47 57344 C:\WINDOWS\ALCXMNTR.EXE]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 22:54 253952]
"MessagerStarter Wanadoo"="C:\PROGRA~1\MESSAG~1\StartMessager.exe" [2003-04-04 17:47 32768]
"WinFast Schedule"="C:\Program Files\WinFast\WFTVFM\WFWIZ.exe" [ ]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="R:\Programmes\iTunesHelper.exe" [2007-06-01 16:51 257088]
"LogitechCommunicationsManager"="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1\realmon.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"R:\\Programmes\\eMule\\emule.exe"=
"R:\\Programmes\\realplay.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"R:\\Programmes\\iTunes.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"R:\\Programmes\\Skype\\Phone\\Skype.exe"=

R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 12:25]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 12:25]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 12:25]
R3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 00:08]
S3 MBAMCatchMe;MBAMCatchMe;C:\Program Files\Malwarebytes' Anti-Malware\catchme.sys [2008-04-07 20:17]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]
S3 WFIOCTL;WFIOCTL;C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS [2003-09-10 10:53]

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-02-12 06:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe
"2008-04-25 13:49:28 C:\WINDOWS\Tasks\User_Feed_Synchronization-{19CF7D53-0C67-4113-9241-82F145F6B4A8}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 01:32:31
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
C:\Program Files\Messager Wanadoo\StartMessager.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-04-26 1:36:41 - machine was rebooted [HP_Propri‚taire]
ComboFix-quarantined-files.txt 2008-04-25 23:36:37

Pre-Run: 11,743,260,672 octets libres
Post-Run: 11,668,140,032 octets libres

172 --- E O F --- 2008-04-09 10:31:03

Rapport Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:01:11, on 26/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\hphmon06.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\WINDOWS\AGRSMMSG.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\MESSAG~1\StartMessager.exe
R:\Programmes\iTunesHelper.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/Web [...] AA&LF=blue
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O2 - BHO: DVA Storm - {EA3D41AC-9334-48AD-B582-19F2ADEB5C6A} - C:\WINDOWS\qnmargolqgp.dll (file missing)
O2 - BHO: (no name) - {EF730EA6-6D5E-4CF4-9866-A68EBA0367AE} - C:\WINDOWS\system32\pmnnonkI.dll (file missing)
O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: dpevflbg - {AEC33E75-FFF6-45F3-A755-684638294388} - C:\WINDOWS\dpevflbg.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [MessagerStarter Wanadoo] C:\PROGRA~1\MESSAG~1\StartMessager.exe Messager Wanadoo
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "R:\Programmes\iTunesHelper.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKCU\..\Run: [Configuration de la neuf Box] C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.kodakgallery.fr/downloa [...] ofupld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ [...] wflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp01.photoprintit.de/micro [...] oader3.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 8792 bytes

Merci et bon weekend :-)

Sham_Rock

<@_@>
Profil : Helper

Plus d'informations

26-04-2008 à 13:03:25

Masquer

bonjour

1

Copie (Ctrl+C) le texte ci-dessous :

File::
C:\WINDOWS\qnmargolqgp.dll
C:\WINDOWS\system32\pmnnonkI.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EA3D41AC-9334-48AD-B582-19F2ADEB5C6A}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF730EA6-6D5E-4CF4-9866-A68EBA0367AE}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{AEC33E75-FFF6-45F3-A755-684638294388}"=-
[-HKEY_CLASSES_ROOT\clsid\{aec33e75-fff6-45f3-a755-684638294388}]
[-HKEY_CLASSES_ROOT\dpevflbg.1]
[-HKEY_CLASSES_ROOT\TypeLib\{2911B164-2814-4538-89C5-9E2AED039BE3}]
[-HKEY_CLASSES_ROOT\dpevflbg]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

2

~Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

~Dezippe la totalité de l'archive SmitfraudFix.zip
Recherche:
~Double clique sur SmitfraudFix.cmd
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

---------------
Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\

AurelNico6 4

Profil : IDNaute

Plus d'informations

27-04-2008 à 20:34:21

Masquer

Bonsoir,

tout d'abord, merci pour le coup de main,
voilà le rapport de Combofix suivi de celui de SmitfrauFix:

ComboFix 08-04-22.5 - HP_Propriétaire 2008-04-26 15:26:40.5 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.235 [GMT 2:00]
Endroit: C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\HP_Propriétaire\Bureau\CFScript.txt
* Création d'un nouveau point de restauration

FILE ::
C:\WINDOWS\qnmargolqgp.dll
C:\WINDOWS\system32\pmnnonkI.dll
.

((((((((((((((((((((((((((((( Fichiers créés 2008-03-26 to 2008-04-26 ))))))))))))))))))))))))))))))))))))
.

2008-04-26 01:36 . 2008-04-26 01:36 <REP> d-------- C:\Documents and Settings\HP_PropriÚtaire
2008-04-24 13:32 . 2008-04-24 13:32 1,160 --a------ C:\WINDOWS\mozver.dat
2008-04-23 23:04 . 2008-04-23 23:04 <REP> d-------- C:\Program Files\Trend Micro
2008-04-23 22:55 . 2008-04-23 22:55 <REP> d-------- C:\VundoFix Backups
2008-04-23 14:42 . 2008-04-23 14:42 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-04-23 14:42 . 2008-04-23 14:42 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Malwarebytes
2008-04-23 14:42 . 2008-04-23 14:42 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-04-23 14:18 . 2005-01-01 12:21 <REP> d-------- C:\Documents and Settings\Administrateur\WINDOWS
2008-04-23 14:18 . 2005-01-01 11:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage réseau
2008-04-23 14:18 . 2005-01-01 11:38 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-04-23 14:18 . 2005-01-01 11:35 <REP> d--h----- C:\Documents and Settings\Administrateur\Modèles
2008-04-23 14:18 . 2005-01-01 11:35 <REP> dr------- C:\Documents and Settings\Administrateur\Mes documents
2008-04-23 14:18 . 2005-01-01 11:35 <REP> dr------- C:\Documents and Settings\Administrateur\Menu Démarrer
2008-04-23 14:18 . 2005-02-22 20:36 <REP> dr------- C:\Documents and Settings\Administrateur\Favoris
2008-04-23 14:18 . 2005-01-01 17:17 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-04-23 14:18 . 2005-01-01 14:07 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Symantec
2008-04-23 14:18 . 2005-01-01 15:41 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\SampleView
2008-04-23 14:18 . 2005-01-01 12:12 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Intervideo
2008-04-23 14:18 . 2005-01-01 12:20 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Apple Computer
2008-04-23 14:18 . 2008-04-23 14:18 <REP> d-------- C:\Documents and Settings\Administrateur
2008-04-23 14:18 . 2008-04-26 02:00 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
2008-04-22 23:30 . 2008-04-22 23:30 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\Talkback
2008-04-22 20:30 . 2008-04-25 09:21 <REP> d-------- C:\Program Files\Spybot - Search & Destroy
2008-04-22 20:30 . 2008-04-25 09:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-22 17:53 . 2008-04-22 17:53 <REP> d-------- C:\Documents and Settings\LocalService\Application Data\AdobeUM
2008-04-22 17:06 . 2008-04-22 17:06 <REP> d-------- C:\Program Files\Avira
2008-04-22 17:06 . 2008-04-22 17:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-04-22 16:01 . 2008-04-23 14:21 4,628 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-22 15:36 . 2008-04-22 15:36 <REP> d-------- C:\Program Files\Enigma Software Group
2008-04-22 14:58 . 2008-04-22 14:58 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\TmpRecentIcons
2008-04-02 22:45 . 2008-04-13 21:32 <REP> d-------- C:\Documents and Settings\HP_Propriétaire\Application Data\skypePM
2008-04-02 22:45 . 2008-04-02 22:45 32 --a------ C:\Documents and Settings\All Users\Application Data\ezsid.dat
2008-04-02 22:44 . 2008-04-02 22:44 <REP> d-------- C:\Program Files\Fichiers communs\Skype
2008-04-01 20:25 . 2008-04-01 20:25 <REP> d-------- C:\Program Files\Logitech
2008-04-01 20:25 . 2008-04-01 20:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2008-04-01 20:25 . 2008-04-01 20:28 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logishrd
2008-04-01 20:22 . 2008-04-01 20:25 <REP> d-------- C:\Program Files\Fichiers communs\logishrd
2008-04-01 20:22 . 2007-10-12 03:55 1,279,000 -ra------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-04-01 20:22 . 2007-10-12 04:00 490,008 -ra------ C:\WINDOWS\system32\LVUI2.dll
2008-04-01 20:22 . 2007-10-12 04:00 465,432 -ra------ C:\WINDOWS\system32\LVUI2RC.dll
2008-04-01 20:22 . 2007-10-12 03:57 416,280 -ra------ C:\WINDOWS\system32\lvcodec2.dll
2008-04-01 20:22 . 2007-10-12 03:57 195,096 -ra------ C:\WINDOWS\system32\lvci1150.dll
2008-04-01 20:22 . 2007-10-12 03:11 59,500 -ra------ C:\WINDOWS\system32\lvcoinst.ini
2008-04-01 20:22 . 2007-10-12 04:00 41,752 -ra------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-04-01 20:22 . 2007-10-12 03:18 21,138 -ra------ C:\WINDOWS\system32\Repository.reg
2008-04-01 10:59 . 2008-04-01 10:59 <REP> d-------- C:\temp

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-26 13:18 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-04-21 15:22 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\AdobeUM
2008-04-13 21:34 --------- d-----w C:\Documents and Settings\HP_Propriétaire\Application Data\Skype
2008-04-02 20:44 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-10-12 21:34 20 ---h--w C:\Documents and Settings\All Users\Application Data\PKP_DLbz.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-04-26_ 1.36.26.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-25 23:32:02 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-26 10:45:30 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Configuration de la neuf Box"="C:\Program Files\neuf telecom\neuf Box\Wizard\QuickAccess.exe" [2005-12-13 15:19 389120]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 12:00 15360]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe" [2005-01-01 11:09 32881]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-08-20 23:55 155648]
"HPHUPD06"="c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 19:53 49152]
"HPHmon06"="C:\WINDOWS\system32\hphmon06.exe" [2004-06-07 19:43 659456]
"ISUSPM Startup"="C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 14:03 221184]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-06-16 14:03 81920]
"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43 233472]
"VTTimer"="VTTimer.exe" []
"SiSPower"="SiSPower.dll" [2004-09-24 10:49 49152 C:\WINDOWS\system32\SiSPower.dll]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 12:01 88209 C:\WINDOWS\AGRSMMSG.exe]
"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 13:02 61440]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [200

Messages similaires

Dans l'actualité

Les téléchargements

Albums

Les dernières actualités

Les derniers dossiers