Tom's Guide > Forum > Sécurité - Virus > xp antispyware 2009 ! virus ? résolu

xp antispyware 2009 ! virus ? résolu

Forum Sécurité - Virus : xp antispyware 2009 ! virus ? résolu

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
stefonx   11-10-2008 à 18:25:14

bonjour,

voilà,

depuis ce matin j'ai mon parefeux qui se bloc et 2 croix ds la barre des taches en bas à droite qui s'affichent dont l'une qui m'apparait un peu fausse qui me propose d'installer windows xp antispyware 2009... :heink:

(ceci à la suite d'une visite sur filefactory)


bref antivir le détecte et voilà pfffffff

je reviens encore après le sauvetage express et efficace de Angeldark !!

si vous pouviez encore m'aider ça serait cool...un combo fix ou koi je post le scan d'highjackthis

merci d'avance !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24, on 11/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
C:\Windows\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\ltmsg.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\brastk.exe
C:\Windows\system32\drivers\svchost.exe
C:\Windows\system32\jsrovatu.exe
C:\Windows\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\jsrovatu.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [brastk] C:\Windows\system32\brastk.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\Windows\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [appchkact] C:\Windows\system32\jsrovatu.exe
O4 - HKCU\..\Run: [brastk] C:\Windows\system32\brastk.exe
O4 - HKLM\..\Policies\Explorer\Run: [ZkX6hkQoSZ] C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 7035258472
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mi [...] 4567339274
O21 - SSODL: WebUtilMsg - {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Program Files\kvldqtb\WebUtilMsg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\Windows\System32\Ati2evxx.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

--
End of file - 6130 bytes


Message édité par stefonx le 15-10-2008 à 23:43:09
Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
art903   11-10-2008 à 20:27:34
- 0 +

Voilà:

http****************

edit Sham_Rock
nous n'utilisons pas ce genre d'outil sur le forum... (trop peu d'informations dessus)


Message édité par Sham_Rock le 12-10-2008 à 00:27:18
------------------------------ Le tuto pour les coincés.
Président de l'ASF..
Une fois TT =P
Répondre à art903
Sham_Rock   12-10-2008 à 00:23:10
- 0 +

bonsoir

~Télécharge SmitfraudFix

http://siri.urz.free.fr/Fix/SmitfraudFix.exe


Recherche:
~Double clique sur SmitfraudFix.exe
~Sélectionne 1 et presse Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système C:\rapport.txt
~Poste ce rapport.
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   12-10-2008 à 22:49:19
- 0 +

bonsoir et merci !

voici le scan :

SmitFraudFix v2.359

Rapport fait à 22:44:53,48, 12/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
C:\Windows\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\ltmsg.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\brastk.exe
C:\Windows\system32\drivers\svchost.exe
C:\Windows\system32\jsrovatu.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

C:\Windows\system32\brastk.exe PRESENT !
C:\Windows\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\akl\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Compact Wireless-G USB Adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

Description: Compact Wireless-G USB Adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{96CCE8D8-4E59-4912-86E1-D9794DAD5876}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{96CCE8D8-4E59-4912-86E1-D9794DAD5876}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Répondre à stefonx
Sham_Rock   13-10-2008 à 20:39:33
- 0 +

bonsoir
~Nettoyage:
1

~Redémarre l'ordinateur en mode sans échec (F8 au démarrage de l'ordinateur)
Aide

~Double clique sur SmitfraudFix.cmd
~Sélectionne 2 et presse Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
~Réponds Oui (o) à toutes les questions.
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
~Poste le nouveau rapport.

2
ajoute un nouveau log hijackthis stp

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   13-10-2008 à 21:50:20
- 0 +

oki c'est fait ! merci :)

la "fausse" croix (genre pare feux windows) à disparu;

par contre il m'est impossible d'activer le pare feux (onglet grisé et inaccessible)...

voici les scans :


SmitFraudFix v2.359

Rapport fait à 21:24:06,50, 13/10/2008
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Windows\system32\brastk.exe supprimé
C:\Windows\system32\drivers\svchost.exe supprimé
C:\Program Files\akl\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{96CCE8D8-4E59-4912-86E1-D9794DAD5876}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{96CCE8D8-4E59-4912-86E1-D9794DAD5876}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{70F603DA-65C3-4781-9FEE-4D1DA1E17484}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{96CCE8D8-4E59-4912-86E1-D9794DAD5876}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



hightjackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:13, on 13/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
C:\Windows\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\ltmsg.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Windows\system32\jsrovatu.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Windows\system32\wscntfy.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [brastk] C:\Windows\system32\brastk.exe
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\Windows\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [appchkact] C:\Windows\system32\jsrovatu.exe
O4 - HKLM\..\Policies\Explorer\Run: [ZkX6hkQoSZ] C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 7035258472
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mi [...] 4567339274
O21 - SSODL: WebUtilMsg - {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Program Files\kvldqtb\WebUtilMsg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\Windows\System32\Ati2evxx.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

--
End of file - 5985 bytes

Répondre à stefonx
Sham_Rock   13-10-2008 à 22:52:55
- 0 +

re

Cette procédure doit être imprimée pour que tu puisses l’avoir sous les yeux quand tu seras en mode sans échec.

Télécharge SDFix(créé par AndyManchesta) et sauvegarde le sur ton Bureau.
***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.c [...] /SDFix.exe ***

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !



+++++++++++++++++++

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   13-10-2008 à 23:46:54
- 0 +

re !

ça avance car j'arrive à activer le pare-feux...
par contre antivir capte toujours un truc bizard au démarrage... mais sinon c coooOOol merci

la suite :


SDFix: Version 1.235
Run by Administrateur on 13/10/2008 at 23:29

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\Administrateur\Favoris\Malware Defender.url - Deleted
C:\Documents and Settings\Administrateur\Favoris\Protect Your Privacy.url - Deleted
C:\Documents and Settings\Administrateur\Favoris\System Error Fixer.url - Deleted
C:\Windows\mslagent\2_mslagent.dll - Deleted
C:\Windows\mslagent\mslagent.exe - Deleted
C:\Windows\mslagent\uninstall.exe - Deleted
C:\Program Files\Inet Delivery\inetdl.exe - Deleted
C:\Program Files\Inet Delivery\intdel.exe - Deleted
C:\Program Files\XP_Antispyware\comp.dat - Deleted
C:\Program Files\XP_Antispyware\htmlayout.dll - Deleted
C:\Program Files\XP_Antispyware\pthreadVC2.dll - Deleted
C:\Program Files\XP_Antispyware\Uninstall.exe - Deleted
C:\Program Files\XP_Antispyware\data\daily.cvd - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcm80.dll - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcp80.dll - Deleted
C:\Program Files\XP_Antispyware\Microsoft.VC80.CRT\msvcr80.dll - Deleted
C:\Windows\a.bat - Deleted
C:\Windows\system32\wini104552502.exe - Deleted
C:\Windows\zip1.tmp - Deleted
C:\Windows\zip2.tmp - Deleted
C:\Windows\zip3.tmp - Deleted
C:\Windows\zipped.tmp - Deleted
C:\Windows\a.bat - Deleted
C:\Windows\base64.tmp - Deleted
C:\Windows\bdn.com - Deleted
C:\Windows\FVProtect.exe - Deleted
C:\Windows\iTunesMusic.exe - Deleted
C:\Windows\mssecu.exe - Deleted
C:\Windows\system32\akttzn.exe - Deleted
C:\Windows\system32\anticipator.dll - Deleted
C:\Windows\system32\awtoolb.dll - Deleted
C:\Windows\system32\bdn.com - Deleted
C:\Windows\system32\bsva-egihsg52.exe - Deleted
C:\Windows\system32\dpcproxy.exe - Deleted
C:\Windows\system32\emesx.dll - Deleted
C:\Windows\system32\h@tkeysh@@k.dll - Deleted
C:\Windows\system32\hoproxy.dll - Deleted
C:\Windows\system32\hxiwlgpm.dat - Deleted
C:\Windows\system32\hxiwlgpm.exe - Deleted
C:\Windows\system32\medup012.dll - Deleted
C:\Windows\system32\medup020.dll - Deleted
C:\Windows\system32\msgp.exe - Deleted
C:\Windows\system32\msnbho.dll - Deleted
C:\Windows\system32\mssecu.exe - Deleted
C:\Windows\system32\msvchost.exe - Deleted
C:\Windows\system32\mtr2.exe - Deleted
C:\Windows\system32\mwin32.exe - Deleted
C:\Windows\system32\netode.exe - Deleted
C:\Windows\system32\newsd32.exe - Deleted
C:\Windows\system32\ps1.exe - Deleted
C:\Windows\system32\psof1.exe - Deleted
C:\Windows\system32\psoft1.exe - Deleted
C:\Windows\system32\regc64.dll - Deleted
C:\Windows\system32\regm64.dll - Deleted
C:\Windows\system32\Rundl1.exe - Deleted
C:\Windows\system32\smp\msrc.exe - Deleted
C:\Windows\system32\sncntr.exe - Deleted
C:\Windows\system32\ssurf022.dll - Deleted
C:\Windows\system32\ssvchost.com - Deleted
C:\Windows\system32\ssvchost.exe - Deleted
C:\Windows\system32\sysreq.exe - Deleted
C:\Windows\system32\taack.dat - Deleted
C:\Windows\system32\taack.exe - Deleted
C:\Windows\system32\temp#01.exe - Deleted
C:\Windows\system32\thun.dll - Deleted
C:\Windows\system32\thun32.dll - Deleted
C:\Windows\system32\VBIEWER.OCX - Deleted
C:\Windows\system32\vbsys2.dll - Deleted
C:\Windows\system32\vcatchpi.dll - Deleted
C:\Windows\system32\winlogonpc.exe - Deleted
C:\Windows\system32\winsystem.exe - Deleted
C:\Windows\system32\WINWGPX.EXE - Deleted
C:\Windows\userconfig9x.dll - Deleted
C:\Windows\winsystem.exe - Deleted



Folder C:\Program Files\Inet Delivery - Removed
Folder C:\Program Files\XP_Antispyware - Removed
Folder C:\Windows\mslagent - Removed
Folder C:\Windows\system32\smp - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 23:39:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Documents and Settings\\Administrateur\\Bureau\\slsk.exe"="C:\\Documents and Settings\\Administrateur\\Bureau\\slsk.exe:*:Enabled:SoulSeek"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Program Files\\Soulseek\\slsk.exe"="C:\\Program Files\\Soulseek\\slsk.exe:*:Enabled:SoulSeek"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*:Disabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 6 Mar 2008 0 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\.4E6423D2C0ADD4DD.sys"
Thu 24 Apr 2008 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 7 Dec 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:28, on 13/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\System32\Ati2evxx.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\atiptaxx.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\ltmsg.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Veoh Networks\Veoh\VeohClient.exe
C:\Program Files\Wireless LAN Utility\SiWake.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Veoh] "C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [appchkact] C:\Windows\system32\jsrovatu.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SiWake.lnk = C:\Program Files\Wireless LAN Utility\SiWake.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wi [...] 7035258472
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mi [...] 4567339274
O21 - SSODL: WebUtilMsg - {53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Program Files\kvldqtb\WebUtilMsg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\Windows\System32\Ati2evxx.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe

--
End of file - 5641 bytes


merci !

Répondre à stefonx
Sham_Rock   14-10-2008 à 00:15:19
- 0 +

re

Désactive ton antivirus et tout autre type de protection.
Télécharge ComboFix de sUBs :
ComboFix.exe
et sauvegarde le sur ton bureau et pas ailleurs!

Copie (Ctrl+C) le texte ci-dessous :

File::
C:\Windows\system32\jsrovatu.exe
C:\Program Files\kvldqtb\WebUtilMsg.dll




Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i263.photobucket.com/albums/ii126/Sham_Rock1/CFScript-1.gif

  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   14-10-2008 à 00:41:38
- 0 +

yop ! super rapide coooOOOl !!

voici le résultat :

ComboFix 08-10-12.01 - Administrateur 2008-10-14 0:31:37.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.730 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
C:\Program Files\kvldqtb\WebUtilMsg.dll
C:\Windows\system32\jsrovatu.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Administrateur\Application Data\ShoppingReport
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\Config.xml
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\db\Aliases.dbs
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\db\Sites.dbs
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\dwld\WhiteList.xip
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\report\aggr_storage.xml
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\report\send_storage.xml
C:\Documents and Settings\Administrateur\Application Data\ShoppingReport\cs\res2\WhiteList.dbs
C:\Program Files\kvldqtb\WebUtilMsg.dll
C:\Windows\system32\jsrovatu.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-13 au 2008-10-13 ))))))))))))))))))))))))))))))))))))
.

2008-10-13 23:28 . 2008-10-13 23:28 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-13 23:24 . 2008-10-13 23:25 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-13 23:20 . 2008-10-13 23:42 <REP> d-------- C:\SDFix
2008-10-12 22:45 . 2008-10-13 21:24 2,918 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-11 13:10 . 2008-10-14 00:31 <REP> d-------- C:\Program Files\kvldqtb
2008-10-11 13:10 . 2008-10-11 13:10 <REP> d-------- C:\Documents and Settings\All Users\Application Data\itkpcfkn
2008-10-04 17:55 . 2008-10-04 17:55 <REP> d-------- C:\Program Files\Avira
2008-10-04 17:55 . 2008-10-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-29 22:22 . 2008-09-29 22:22 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-11 16:42 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\foobar2000
2008-10-10 06:58 82,944 ----a-w C:\Windows\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\Windows\system32\IEDFix.C.exe
2008-10-01 13:51 87,552 ----a-w C:\Windows\system32\VACFix.exe
2008-09-21 22:25 --------- d-----w C:\Program Files\PartyGaming.Net
2008-09-08 21:38 88,576 ----a-w C:\Windows\system32\AntiXPVSTFix.exe
2008-09-08 18:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DivX
2008-09-02 22:04 --------- d-----w C:\Program Files\Soulseek
2008-08-31 15:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-30 14:04 --------- d-----w C:\Program Files\M-Audio
2008-08-27 20:11 --------- d-----w C:\Program Files\DivX
2008-08-26 17:10 20,747 ----a-w C:\Windows\system32\drivers\AegisP.sys
2008-08-26 17:10 --------- d-----w C:\Program Files\Linksys
2008-08-26 07:43 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-25 19:00 --------- d-----w C:\Program Files\Sun
2008-08-25 19:00 --------- d-----w C:\Program Files\Java
2008-08-18 10:19 82,432 ----a-w C:\Windows\system32\404Fix.exe
2008-07-26 18:15 253,116 ----a-w C:\Windows\PDFCreator_Toolbar_Uninstaller_5991.exe
2008-07-26 18:15 15,397 ----a-w C:\Program Files\settings.dat
2008-07-25 08:36 524,288 ----a-w C:\Windows\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\Windows\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\Windows\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\Windows\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\Windows\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\Windows\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\Windows\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\Windows\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\Windows\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\Windows\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\Windows\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\Windows\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\Windows\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\Windows\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\Windows\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\Windows\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\Windows\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\Windows\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\Windows\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\Windows\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\Windows\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\Windows\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\Windows\system32\dllcache\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\Windows\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\Windows\system32\muweb.dll
2008-03-06 08:17 0 ---ha-w C:\Documents and Settings\Administrateur\Application Data\.4E6423D2C0ADD4DD.sys
.

((((((((((((((((((((((((((((( snapshot@2008-10-03_22.06.10.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\Windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-13 21:25:17 7,462,912 ----a-w C:\Windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-10-13 21:25:17 233,472 ----a-w C:\Windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-13 21:25:01 7,462,912 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-10-13 21:25:01 233,472 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-05-09 11:15:51 45,376 ----a-w C:\Windows\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w C:\Windows\system32\drivers\avgntmgr.sys
+ 2008-06-27 13:03:55 75,072 ----a-w C:\Windows\system32\drivers\avipbb.sys
+ 2007-03-01 08:34:22 28,352 ----a-w C:\Windows\system32\drivers\ssmdrv.sys
+ 2004-07-31 16:50:36 51,200 ----a-w C:\Windows\system32\dumphive.exe
+ 2008-05-18 19:40:35 82,944 ----a-w C:\Windows\system32\IEDFix.exe
+ 2003-06-05 19:13:00 53,248 ----a-w C:\Windows\system32\Process.exe
+ 2006-04-27 15:49:30 288,417 ----a-w C:\Windows\system32\SrchSTS.exe
+ 2006-01-09 08:36:06 40,960 ----a-w C:\Windows\system32\swsc.exe
+ 2007-09-05 22:22:23 289,144 ----a-w C:\Windows\system32\VCCLSID.exe
+ 2007-10-03 22:36:46 25,600 ----a-w C:\Windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-28 3660848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-04-25 126976]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-04-25 540672]
"eabconfg.cpl"="C:\Program Files\Compaq\EAB\EabServr.exe" [2002-03-07 171665]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"NeroFilterCheck"="C:\Windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"AtiPTA"="atiptaxx.exe" [2002-02-14 C:\WINDOWS\system32\atiptaxx.exe]
"LTWinModem1"="ltmsg.exe" [2002-02-28 C:\WINDOWS\system32\ltmsg.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\Windows\System32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SiWake.lnk - C:\Program Files\Wireless LAN Utility\SiWake.exe [2007-12-03 155648]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\Administrateur\\Bureau\\slsk.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

S3 GTFFBUS;GT FF BUS;C:\Windows\system32\DRIVERS\gtffbus.sys [2007-01-15 17152]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;C:\Windows\system32\DRIVERS\Gtm51Irp.sys [2007-01-15 122240]
S3 GTPTSER;GT PT SER;C:\Windows\system32\DRIVERS\gtptser.sys [2007-01-15 8064]
S3 GTUQBUS;GT UQ BUS;C:\Windows\system32\DRIVERS\gtuqbus.sys [2007-01-15 36992]
S3 ma763006;M-Audio Transit USB;C:\Windows\system32\drivers\MA763006.sys [ ]
S3 MADFU;MADFU;C:\Windows\system32\DRIVERS\MADFUXP.sys [2007-04-12 16512]
S3 MADFU006;MADFU006;C:\Windows\system32\DRIVERS\MADFU006.sys [ ]
S3 MAUSBXP;Service for M-Audio Xponent (WDM);C:\Windows\system32\DRIVERS\mausbxp.sys [ ]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2005-11-02 215552]
S3 USBSTOR;Pilote de stockage de masse USB;C:\Windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\Auto\command - F:\RavMonE.exe e
\Shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-appchkact - C:\Windows\system32\jsrovatu.exe
SSODL-WebUtilMsg-{53699353-0C4C-57EE-A7D0-099BF33A1E62} - C:\Program Files\kvldqtb\WebUtilMsg.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 00:34:56
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-14 0:38:09
ComboFix-quarantined-files.txt 2008-10-13 22:38:04
ComboFix2.txt 2008-10-04 13:05:47
ComboFix3.txt 2008-10-03 20:06:51

Avant-CF: 9 380 114 432 octets libres
Après-CF: 9,365,872,640 octets libres

172 --- E O F --- 2008-09-09 18:39:35


merci

Répondre à stefonx
Sham_Rock   14-10-2008 à 21:19:23
- 0 +

bonsoir

1

Télécharge Flash Disinfector
Connectes tes supports amovibles sur ton PC. (lecteur mp3, DD externe, clé USB...)
Connecte tous les périphériques externes ( DD , USB , ..... )
Double clique sur Flash Disinfector et laisse toi guider




2

Copie (Ctrl+C) le texte ci-dessous :

File::
F:\RavMonE.exe

Folder::
C:\Program Files\kvldqtb
C:\Documents and Settings\All Users\Application Data\itkpcfkn

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]




Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu viens de copier.
Sauvegarde ce fichier sous le nom de CFScript.txt

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

http://i263.photobucket.com/albums/ii126/Sham_Rock1/CFScript-1.gif

  • Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
  • Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt



------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   14-10-2008 à 21:51:36
- 0 +

oki coool !


ComboFix 08-10-12.01 - Administrateur 2008-10-14 21:29:38.4 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.698 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Administrateur\Bureau\vitefait\ComboFix.exe
Commutateurs utilisés :: C:\Documents and Settings\Administrateur\Bureau\CFScript.txt.txt
* Un nouveau point de restauration a été créé

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]

FILE ::
F:\RavMonE.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\itkpcfkn
C:\Documents and Settings\All Users\Application Data\itkpcfkn\qbolybkf.exe
C:\Program Files\kvldqtb

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-09-14 au 2008-10-14 ))))))))))))))))))))))))))))))))))))
.

2008-10-13 23:28 . 2008-10-13 23:28 579,584 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-13 23:24 . 2008-10-13 23:25 <REP> d-------- C:\WINDOWS\ERUNT
2008-10-13 23:20 . 2008-10-13 23:42 <REP> d-------- C:\SDFix
2008-10-12 22:45 . 2008-10-13 21:24 2,918 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-04 17:55 . 2008-10-04 17:55 <REP> d-------- C:\Program Files\Avira
2008-10-04 17:55 . 2008-10-04 17:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-09-29 22:22 . 2008-09-29 22:22 <REP> d-------- C:\Program Files\Trend Micro

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 07:08 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\foobar2000
2008-10-10 06:58 82,944 ----a-w C:\Windows\system32\o4Patch.exe
2008-10-10 06:58 82,944 ----a-w C:\Windows\system32\IEDFix.C.exe
2008-10-01 13:51 87,552 ----a-w C:\Windows\system32\VACFix.exe
2008-09-21 22:25 --------- d-----w C:\Program Files\PartyGaming.Net
2008-09-08 21:38 88,576 ----a-w C:\Windows\system32\AntiXPVSTFix.exe
2008-09-08 18:40 --------- d-----w C:\Documents and Settings\Administrateur\Application Data\DivX
2008-09-02 22:04 --------- d-----w C:\Program Files\Soulseek
2008-08-31 15:27 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-30 14:04 --------- d-----w C:\Program Files\M-Audio
2008-08-27 20:11 --------- d-----w C:\Program Files\DivX
2008-08-26 17:10 20,747 ----a-w C:\Windows\system32\drivers\AegisP.sys
2008-08-26 17:10 --------- d-----w C:\Program Files\Linksys
2008-08-26 07:43 --------- d-----w C:\Program Files\Microsoft Silverlight
2008-08-25 19:00 --------- d-----w C:\Program Files\Sun
2008-08-25 19:00 --------- d-----w C:\Program Files\Java
2008-08-18 10:19 82,432 ----a-w C:\Windows\system32\404Fix.exe
2008-07-26 18:15 253,116 ----a-w C:\Windows\PDFCreator_Toolbar_Uninstaller_5991.exe
2008-07-26 18:15 15,397 ----a-w C:\Program Files\settings.dat
2008-07-25 08:36 524,288 ----a-w C:\Windows\system32\DivXsm.exe
2008-07-23 16:50 3,596,288 ----a-w C:\Windows\system32\qt-dx331.dll
2008-07-23 16:50 129,784 ------w C:\Windows\system32\pxafs.dll
2008-07-23 16:50 120,056 ------w C:\Windows\system32\pxcpyi64.exe
2008-07-23 16:50 118,520 ------w C:\Windows\system32\pxinsi64.exe
2008-07-23 16:48 200,704 ----a-w C:\Windows\system32\ssldivx.dll
2008-07-23 16:48 1,044,480 ----a-w C:\Windows\system32\libdivx.dll
2008-07-23 16:46 12,288 ----a-w C:\Windows\system32\DivXWMPExtType.dll
2008-07-18 20:10 94,920 ----a-w C:\Windows\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\Windows\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\Windows\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\Windows\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\Windows\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\Windows\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\Windows\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\Windows\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\Windows\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\Windows\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\Windows\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\Windows\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\Windows\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\Windows\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\Windows\system32\dllcache\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\Windows\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\Windows\system32\muweb.dll
2008-03-06 08:17 0 ---ha-w C:\Documents and Settings\Administrateur\Application Data\.4E6423D2C0ADD4DD.sys
.

((((((((((((((((((((((((((((( snapshot@2008-10-03_22.06.10.17 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04 163,328 ----a-w C:\Windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-10-13 21:25:17 7,462,912 ----a-w C:\Windows\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-10-13 21:25:17 233,472 ----a-w C:\Windows\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:04 163,328 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-10-13 21:25:01 7,462,912 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-10-13 21:25:01 233,472 ----a-w C:\Windows\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-05-09 11:15:51 45,376 ----a-w C:\Windows\system32\drivers\avgntdd.sys
+ 2008-01-21 16:11:28 22,336 ----a-w C:\Windows\system32\drivers\avgntmgr.sys
+ 2008-06-27 13:03:55 75,072 ----a-w C:\Windows\system32\drivers\avipbb.sys
+ 2007-03-01 08:34:22 28,352 ----a-w C:\Windows\system32\drivers\ssmdrv.sys
+ 2004-07-31 16:50:36 51,200 ----a-w C:\Windows\system32\dumphive.exe
+ 2008-05-18 19:40:35 82,944 ----a-w C:\Windows\system32\IEDFix.exe
+ 2003-06-05 19:13:00 53,248 ----a-w C:\Windows\system32\Process.exe
+ 2006-04-27 15:49:30 288,417 ----a-w C:\Windows\system32\SrchSTS.exe
+ 2007-09-05 22:22:23 289,144 ----a-w C:\Windows\system32\VCCLSID.exe
+ 2007-10-03 22:36:46 25,600 ----a-w C:\Windows\system32\WS2Fix.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-08-28 3660848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-04-25 126976]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-04-25 540672]
"eabconfg.cpl"="C:\Program Files\Compaq\EAB\EabServr.exe" [2002-03-07 171665]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-12-04 185896]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"NeroFilterCheck"="C:\Windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 C:\WINDOWS\system32\Ati2mdxx.exe]
"AtiPTA"="atiptaxx.exe" [2002-02-14 C:\WINDOWS\system32\atiptaxx.exe]
"LTWinModem1"="ltmsg.exe" [2002-02-28 C:\WINDOWS\system32\ltmsg.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\Windows\System32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
SiWake.lnk - C:\Program Files\Wireless LAN Utility\SiWake.exe [2007-12-03 155648]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\Administrateur\\Bureau\\slsk.exe"=
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Program Files\\Soulseek\\slsk.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

S3 GTFFBUS;GT FF BUS;C:\Windows\system32\DRIVERS\gtffbus.sys [2007-01-15 17152]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;C:\Windows\system32\DRIVERS\Gtm51Irp.sys [2007-01-15 122240]
S3 GTPTSER;GT PT SER;C:\Windows\system32\DRIVERS\gtptser.sys [2007-01-15 8064]
S3 GTUQBUS;GT UQ BUS;C:\Windows\system32\DRIVERS\gtuqbus.sys [2007-01-15 36992]
S3 ma763006;M-Audio Transit USB;C:\Windows\system32\drivers\MA763006.sys [ ]
S3 MADFU;MADFU;C:\Windows\system32\DRIVERS\MADFUXP.sys [2007-04-12 16512]
S3 MADFU006;MADFU006;C:\Windows\system32\DRIVERS\MADFU006.sys [ ]
S3 MAUSBXP;Service for M-Audio Xponent (WDM);C:\Windows\system32\DRIVERS\mausbxp.sys [ ]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\Windows\system32\DRIVERS\sis163u.sys [2005-11-02 215552]
S3 USBSTOR;Pilote de stockage de masse USB;C:\Windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 21:33:14
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-10-14 21:36:21
ComboFix-quarantined-files.txt 2008-10-14 19:36:15
ComboFix2.txt 2008-10-13 22:38:11
ComboFix3.txt 2008-10-04 13:05:47
ComboFix4.txt 2008-10-03 20:06:51

Avant-CF: 9 312 509 952 octets libres
Après-CF: 9,300,791,296 octets libres

154 --- E O F --- 2008-09-09 18:39:35


thks !

Répondre à stefonx
Sham_Rock   14-10-2008 à 21:58:29
- 0 +

re

Désinstalle combofix en suivant cette procédure:

  • Menu démarrer puis exécuter
  • Tape maintenant Combofix /u dans la fenêtre que apparaît puis valide par OK. Veille à bien laisser un espace entre le X et le /U, car cela est nécessaire ici.

http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png


~Fais une analyse antivirus en ligne sur le site de Kaspersky
http://www.kaspersky.com/kos/eng/p [...] bscan.html

* Clique sur Accept
* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
* clique une nouvelle fois sur "Accept"
* Les bases de mises à jour vont s'installer, patiente un moment
* Clique sur Next.
* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.
* Poste le rapport de scan.

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   15-10-2008 à 14:35:14
- 0 +

oki

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Wednesday, October 15, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Tuesday, October 14, 2008 22:28:01
Records in database: 1312015
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\

Scan statistics:
Files scanned: 114398
Threat name: 1
Infected objects: 2
Suspicious objects: 0
Duration of the scan: 02:30:26


File name / Threat name / Threats count
C:\Documents and Settings\Administrateur\Bureau\vitefait\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1
C:\Documents and Settings\Administrateur\Bureau\vitefait\SmitfraudFix.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1

The selected area was scanned.


thks

Répondre à stefonx
Sham_Rock   15-10-2008 à 22:41:24
- 0 +

bonsoir

parfait

mets à jours IE: règle 1
Sécuriser son PC

Supprime tous les programmes installés pour la désinfection.


Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.

http://www.malekal.com/fichiers/projetantimalwares/reagir_miniban.gif

Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

~Edite ton premier message (en cliquant sur la gomme) et marque [résolu] dans le titre.
:hello:

------------------------------ Prévention et protection
/!\Marre de la pub: Firefox sécurisé/!\
 Répondre à Sham_Rock
stefonx   15-10-2008 à 23:40:22
- 0 +

THANKS A LOT MANO !!

Répondre à stefonx
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > xp antispyware 2009 ! virus ? résolu
Aller à :

Il y a 1886 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,543 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens