Tom's Guide > Forum > Sécurité - Virus > Trojan.FakeAV.GR

Trojan.FakeAV.GR

Forum Sécurité - Virus : Trojan.FakeAV.GR

TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Créer un nouveau sujet Répondre
Mot :    Pseudo :           
 
bauer45   28-04-2009 à 17:52:24

Bonjour,
mon ordinateur ou plutôt celui de mon beau père est infecté par un cheval de Troie de type fakeav.gr.
Je précise que ce virus à été découvert suite à un scan de son antivirus( Avast).
Pour les symptômes je ne m'en rappel plus mais je peut toujours lui demander (à mon beau père ) si cela s'avère nécessaire.
Merci de prendre le temps de lire mon sujet et de m'aider si cela est possible.

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
hyunkel30   28-04-2009 à 20:00:04
- 0 +

Bonsoir Bauer45,

Je vais te prendre en main,
Cependant je suis en formation, et mes réponses devront être validées par mes formateurs, il se peut donc qu'il y ai un certain temps d'attente lors de nos échanges.

Merci par avance pour ta patiente.

[:_tom_:7]

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
hyunkel30   28-04-2009 à 21:52:53
- 0 +

;) Re,

-> Peux-tu nous donner les fichiers (et leurs emplacements) détectés par Avast! ?
Tu trouveras ces infos dans le/les rapports de détection

-> Quels sont les symptômes rencontré mis à part cette alerte ?

Merci de faire ceci :
Télécharge DDS de sUBs sur ton bureau.
L'outil ne nécessite pas d'installation.

Lance-le en cliquant sur l'icône dds.scr
http://i75.servimg.com/u/f75/11/05/93/83/dds10.jpg
Cette fenêtre DOS va apparaitre
http://i75.servimg.com/u/f75/11/05/93/83/ddsdos10.jpg

  • Le scan ne doit pas dépasser trois minutes.
  • Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
  • Il te sera demandé si tu veux faire le scan optionnel.
  • Accepte par Oui
  • Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
  • Tu ne le fourniras que si nécessaire.
  • Poste le rapport DDS.txt

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   29-04-2009 à 21:48:26
- 0 +

Bonsoir hyunkel30,

tout d'abord merci pour ta réponse assez rapide et désolé pour le laps de temps entre mes réponses.

En ce qui concerne Avast, pas de trace du rapport de détection (au dire de la personne concernée).

Les symptômes sont les suivants: petites musiques qui se déclenchent, ouverture de fenêtres etc...

Voici le fichier dds.txt demandé:


DDS (Ver_09-03-16.01) - NTFSx86
Run by DANIEL at 21:16:25,34 on 29/04/2009
Internet Explorer: 7.0.5730.11
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.99 [GMT 2:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Lexmark P910 Series\lxbymon.exe
C:\Program Files\Lexmark P910 Series\ezprint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ZoomText 9.1\ZT.exe
C:\WINDOWS\system32\rundll32.exe
svchost.exe
C:\WINDOWS\vlc.exe
C:\WINDOWS\svx.exe
C:\WINDOWS\wdmon.exe
C:\WINDOWS\svw.exe
C:\WINDOWS\svc.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\lxbycoms.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\odb.exe
C:\Documents and Settings\DANIEL\Bureau\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://french.icrfast.com/index.php?rvs=hompag
uWindow Title = Packard Bell
uSearch Bar = hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
mWinlogon: Userinit=userinit.exe,c:\windows\system32\ntos.exe,
BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
BHO: 1 (0x1) - No File
TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
TB: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
TB: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
uRun: [UpdateWin] c:\windows\system32\activedsn.exe
uRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
mRun: [Bdikona] rundll32.exe "c:\windows\Ryufuwamohey.dll",e
mRun: [UpdateWin] c:\windows\system32\activedsn.exe
mRun: [odb] c:\windows\odb.exe
mRun: [vlc] c:\windows\vlc.exe
mRun: [netx] c:\windows\svx.exe
mRun: [wdmon] c:\windows\wdmon.exe
mRun: [netw] c:\windows\svw.exe
mRun: [netc] c:\windows\svc.exe
mRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [userinit] c:\windows\system32\ntos.exe
StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
uPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
uPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
mPolicies-system: DisableTaskMgr = 1 (0x1)
mPolicies-system: DisableRegistryTools = 1 (0x1)
IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
IE: {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne-beta.jeu.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - file:///C:/Documents%20and%20Settings/CHRISTINE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v6.cab
DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
TCP: NameServer = 85.255.116.44 85.255.112.215
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
STS: IPC Configuration Utility - No File
STS: {020487CC-FC04-4B1E-863F-D9801796230B} - No File

============= SERVICES / DRIVERS ===============

R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

=============== Created Last 30 ================

2009-04-15 08:00 473,088 -------- c:\windows\system32\dllcache\fastprox.dll
2009-04-15 08:00 399,360 -------- c:\windows\system32\dllcache\rpcss.dll
2009-04-15 08:00 286,208 -------- c:\windows\system32\dllcache\pdh.dll
2009-04-15 08:00 227,840 -------- c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 08:00 60,416 -------- c:\windows\system32\dllcache\colbact.dll
2009-04-15 08:00 35,328 -------- c:\windows\system32\dllcache\sc.exe
2009-04-15 08:00 685,056 -------- c:\windows\system32\dllcache\advapi32.dll
2009-04-15 08:00 453,120 -------- c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 08:00 111,104 -------- c:\windows\system32\dllcache\services.exe
2009-04-15 08:00 739,840 -------- c:\windows\system32\dllcache\ntdll.dll
2009-04-15 07:59 219,136 -------- c:\windows\system32\dllcache\wordpad.exe
2009-04-15 07:56 351,232 -------- c:\windows\system32\dllcache\winhttp.dll

==================== Find3M ====================

2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
2009-03-21 16:20 1,051,136 -------- c:\windows\system32\dllcache\kernel32.dll
2009-03-14 20:02 102,664 a------- c:\windows\system32\drivers\tmcomm.sys
2009-03-10 17:49 232,448 a------- c:\windows\svc.exe
2009-03-10 17:49 232,960 a------- c:\windows\svw.exe
2009-03-10 17:49 232,960 a------- c:\windows\svx.exe
2009-03-10 17:49 232,960 a------- c:\windows\wdmon.exe
2009-03-10 17:49 232,960 a------- c:\windows\vlc.exe
2009-03-06 16:46 286,208 a------- c:\windows\system32\pdh.dll
2009-03-05 18:08 38,912 a------- c:\windows\Ryufuwamohey.dll
2009-03-05 18:08 40,960 ---shr-- c:\windows\system32\activedsn.exe
2009-03-05 18:08 232,960 a------- c:\windows\odb.exe
2009-03-03 02:13 826,368 a------- c:\windows\system32\wininet.dll
2009-03-03 02:13 826,368 a------- c:\windows\system32\dllcache\wininet.dll
2009-02-28 06:54 636,072 -------- c:\windows\system32\dllcache\iexplore.exe
2009-02-20 12:20 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
2009-02-20 12:20 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
2009-02-20 07:14 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
2009-02-09 16:17 1,846,400 a------- c:\windows\system32\win32k.sys
2009-02-09 16:17 1,846,400 -------- c:\windows\system32\dllcache\win32k.sys
2009-02-09 13:50 2,017,792 -------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-09 13:50 2,059,776 a------- c:\windows\system32\ntkrnlpa.exe
2009-02-09 13:50 2,059,776 -------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-09 13:50 2,182,528 a------- c:\windows\system32\ntoskrnl.exe
2009-02-09 13:50 2,182,528 -------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-09 13:50 2,138,112 -------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-09 12:20 730,112 a------- c:\windows\system32\lsasrv.dll
2009-02-09 12:20 730,112 -------- c:\windows\system32\dllcache\lsasrv.dll
2009-02-09 12:20 685,056 a------- c:\windows\system32\advapi32.dll
2009-02-09 12:20 399,360 a------- c:\windows\system32\rpcss.dll
2009-02-09 12:20 739,840 a------- c:\windows\system32\ntdll.dll
2009-02-09 12:08 111,104 a------- c:\windows\system32\services.exe
2009-02-06 18:54 35,328 a------- c:\windows\system32\sc.exe
2009-02-03 22:10 55,808 a------- c:\windows\system32\secur32.dll
2009-02-03 22:10 55,808 -------- c:\windows\system32\dllcache\secur32.dll
2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

============= FINISH: 21:16:49,46 ===============


Voilà, désolé pour ne pas avoir pu fournir le rapport Avast.
Merci

Répondre à bauer45
hyunkel30   02-05-2009 à 11:04:47
- 0 +

:hello: Bonjour bauer45,

Désolé pour l'attente.

Il y a plusieurs infections, et aucun antivirus ni parefeu installé ...

Nous allons commencer par ça :

Télécharge SmitfraudFix (de S!Ri) sur le bureau

  • Lance Smitfraudfix et choisis l'option 1
  • Le rapport se trouve à la racine du disque C:\rapport.txt
  • Poste-le dans ta prochaine réponse


Une aide à l'utilisation ici

Si smitfraudfix ne se lance pas, déplace le à la racine de ton disque dur (généralement C: ) et lance le.

Process est détecté par certains antivirus (Antivir, DrWeb, Kaspersky) comme étant un programme malveillant, ce n'est pas le cas. Si tu as une alerte concernant ce fichier, n'empêche pas process de s'exécuter.

[:_tom_:7]


Message édité par hyunkel30 le 02-05-2009 à 11:06:15
------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   02-05-2009 à 16:55:07
- 0 +

Bonjour hyunkel30,

en effet, après vérification le pare-feu (windows) n'était pas activé quant à l'antivirus Avast est bien présent mais fonctionne t' il réellement...
Bref ce n'est pas le sujet.
Voici le rapport SmitFraudFix demandé:

SmitFraudFix v2.414

Rapport fait à 16:38:17,79, 02/05/2009
Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Lexmark P910 Series\lxbymon.exe
C:\Program Files\Lexmark P910 Series\ezprint.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ZoomText 9.1\ZT.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\odb.exe
C:\WINDOWS\vlc.exe
C:\WINDOWS\svx.exe
C:\WINDOWS\wdmon.exe
C:\WINDOWS\svw.exe
C:\WINDOWS\svc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxbycoms.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


A la prochaine pour la suite.

Répondre à bauer45
hyunkel30   02-05-2009 à 17:44:36
- 0 +

;) Re,

Le rapport de SmitfraudFix n'est pas complet ...

Vérifie que tu n'es pas oublié une partie en copiant.


Sinon, relance-le et attend bien la fin du scan, et l'ouverture du rapport.

[:_tom_:7]

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   04-05-2009 à 17:22:21
- 0 +

Re, autant pour moi :sarcastic:

SmitFraudFix v2.414

Rapport fait à 16:38:17,79, 02/05/2009
Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Lexmark P910 Series\lxbymon.exe
C:\Program Files\Lexmark P910 Series\ezprint.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ZoomText 9.1\ZT.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\odb.exe
C:\WINDOWS\vlc.exe
C:\WINDOWS\svx.exe
C:\WINDOWS\wdmon.exe
C:\WINDOWS\svw.exe
C:\WINDOWS\svc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxbycoms.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DANIEL


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DANIEL\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\HQvideo\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"IPC Configuration Utility"="IPC Configuration Utility"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe,C:\\WINDOWS\\system32\\ntos.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin


Là il est complet, désolé

Répondre à bauer45
hyunkel30   06-05-2009 à 19:50:55
- 0 +

;) ok, la suite :

1) Désinstalle via ajout/suppression de programme (si présent) :

  • Oberon Toolbar/Oberon games/Oberon media/Gamesbar
  • Symantec/Norton/LiveUpdate (reste de l'antivirus Norton)

-> Utilise ceci pour nettoyer les dernières traces.

2) Télécharge et installe Hijackthis

Ne le lance pas pour le moment.

3) Redémarre en Mode Sans Echec :
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

Aide : Comment faire démarrer son ordinateur en mode sans échec.

4) Lance Hijackthis
( Situé ici : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe )

Clic sur :
http://images.imagehotel.net/qkycrnfje7.png

Coche ces lignes (si présentes):

Citation :


F2 - REG:system.ini Userinit=userinit.exe,c:\windows\system32\ntos.exe,
O2 - BHO: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
O2 - BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
O3 - Toolbar: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
O3 - Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
O3 - Toolbar: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\Run: [Bdikona] rundll32.exe "c:\windows\Ryufuwamohey.dll",e
O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\Run: [odb] c:\windows\odb.exe
O4 - HKLM\..\Run: [vlc] c:\windows\vlc.exe
O4 - HKLM\..\Run: [netx] c:\windows\svx.exe
O4 - HKLM\..\Run: [wdmon] c:\windows\wdmon.exe
O4 - HKLM\..\Run: [netw] c:\windows\svw.exe
O4 - HKLM\..\Run: [netc] c:\windows\svc.exe
O4 - HKLM\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\Run: [userinit] c:\windows\system32\ntos.exe
O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
O7 - HKCU\...\Explorer: NoActiveDesktopChanges = 1 (0x1)
O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
O7 - HKCU\...\Explorer: NoActiveDesktopChanges = 1 (0x1)
O7 - HKCU\...\System: DisableTaskMgr = 1 (0x1)
O7 - HKCU\...\System:: DisableRegistryTools = 1 (0x1)
O12 - PluginIE {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne-beta.jeu.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - file:///C: /Documents%20and%20Settings/CHRISTINE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v6.cab
017- HKLM\...\Parameters : NameServer = 85.255.116.44 85.255.112.215



Et clic sur : "Fix checked" en bas

Valide et ferme.

5) Affiche les fichiers et dossiers cachés :
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :

  • Coche Afficher les fichiers et dossiers cachés
  • Décoche Masquer les extensions des fichiers dont le type est connu
  • Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

clique sur Appliquer, puis OK.

-> Recherche et supprime ces fichiers/dossiers (si présent) :

Citation :


C:\Program Files\gamesbar
C:\Documents and Settings\CHRISTINE\Local Settings\Application Data\Oberon Media
C:\WINDOWS\vlc.exe
C:\WINDOWS\svx.exe
C:\WINDOWS\wdmon.exe
C:\WINDOWS\svw.exe
C:\WINDOWS\svc.exe
c:\windows\odb.exe
c:\windows\Ryufuwamohey.dll
c:\windows\system32\activedsn.exe
c:\windows\system32\ntos.exe



N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation, à présent, c'est important : Des fichiers systèmes sont accessible sous cette option, et une manipulation hasardeuse sur eux peut entaîner un plantage du système.
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :

  • Coche Ne pas afficher les fichiers et dossiers cachés
  • Coche Masquer les extensions des fichiers dont le type est connu
  • Coche Masquer les fichiers protégés du système d'exploitation (recommandé)

clique sur Appliquer, puis OK.

6) Relance SmitfraudFix.exe en double cliquant dessus

  • Sélectionne l’option 2 et presse Entrée dans le menu.
  • A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question : Corriger le fichier infecté ? répondre O (oui) et presse Entrée pour remplacer le fichier corrompu.
  • Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
  • Le rapport se trouve à la racine du disque C:\rapport.txt. Poste-le dans ta réponse.


7) Relance DDS
Poste le nouveau rapport DDS.txt

8 ) Télécharge Toolbar-S&D (Team IDN) sur ton bureau. (autre lien)

  • Lance l'installation du programme en exécutant le fichier téléchargé.
  • Double-clique maintenant sur le raccourci de Toolbar-S&D.
  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)


Dans ta prochaine réponse il me faut donc :
-> Le rapport option 2 Smitfraudfix
-> le nouveau rapport DDS
-> Le rapport Option 1 Toolbar-S&D

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   08-05-2009 à 23:45:35
- 0 +

Bonsoir, voici les rapports demandés:

rapport (option 2) SmitFraudFix:

SmitFraudFix v2.414

Rapport fait à 22:44:18,92, 08/05/2009
Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"IPC Configuration Utility"="IPC Configuration Utility"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"


»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\HQvideo\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"IPC Configuration Utility"="IPC Configuration Utility"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"



»»»»»»»»»»»»»»»»»»»»»»»» Fin


nouveau rapport DDS:

DDS (Ver_09-03-16.01) - NTFSx86
Run by DANIEL at 23:15:19,12 on 08/05/2009
Internet Explorer: 7.0.5730.11
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.187 [GMT 2:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Lexmark P910 Series\lxbymon.exe
C:\Program Files\Lexmark P910 Series\ezprint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\ZoomText 9.1\ZT.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe -k HTTPFilter
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\lxbycoms.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Documents and Settings\DANIEL\Bureau\dds.scr

============== Pseudo HJT Report ===============

uWindow Title = Packard Bell
uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
BHO: 1 (0x1) - No File
TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
TB: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
uRun: [UpdateWin] c:\windows\system32\activedsn.exe
uRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
mRun: [UpdateWin] c:\windows\system32\activedsn.exe
mRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
dRun: [userinit] c:\windows\system32\ntos.exe
StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
uPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
mPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
STS: IPC Configuration Utility - No File
STS: {020487CC-FC04-4B1E-863F-D9801796230B} - No File

============= SERVICES / DRIVERS ===============

R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

=============== Created Last 30 ================

2009-05-08 23:03 <DIR> --d----- C:\ToolBar SD
2009-05-08 21:36 <DIR> --d----- c:\program files\Trend Micro
2009-05-08 21:25 <DIR> --d----- c:\docume~1\alluse~1\applic~1\NortonInstaller
2009-05-02 16:38 3,724 a------- c:\windows\system32\tmp.reg
2009-04-15 08:00 473,088 -------- c:\windows\system32\dllcache\fastprox.dll
2009-04-15 08:00 399,360 -------- c:\windows\system32\dllcache\rpcss.dll
2009-04-15 08:00 286,208 -------- c:\windows\system32\dllcache\pdh.dll
2009-04-15 08:00 227,840 -------- c:\windows\system32\dllcache\wmiprvse.exe
2009-04-15 08:00 60,416 -------- c:\windows\system32\dllcache\colbact.dll
2009-04-15 08:00 35,328 -------- c:\windows\system32\dllcache\sc.exe
2009-04-15 08:00 685,056 -------- c:\windows\system32\dllcache\advapi32.dll
2009-04-15 08:00 453,120 -------- c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-15 08:00 111,104 -------- c:\windows\system32\dllcache\services.exe
2009-04-15 08:00 739,840 -------- c:\windows\system32\dllcache\ntdll.dll
2009-04-15 07:59 219,136 -------- c:\windows\system32\dllcache\wordpad.exe
2009-04-15 07:56 351,232 -------- c:\windows\system32\dllcache\winhttp.dll

==================== Find3M ====================

2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
2009-03-21 16:20 1,051,136 -------- c:\windows\system32\dllcache\kernel32.dll
2009-03-14 20:02 102,664 a------- c:\windows\system32\drivers\tmcomm.sys
2009-03-06 16:46 286,208 a------- c:\windows\system32\pdh.dll
2009-03-05 18:08 40,960 ---shr-- c:\windows\system32\activedsn.exe
2009-03-03 02:13 826,368 a------- c:\windows\system32\wininet.dll
2009-03-03 02:13 826,368 a------- c:\windows\system32\dllcache\wininet.dll
2009-02-28 06:54 636,072 -------- c:\windows\system32\dllcache\iexplore.exe
2009-02-20 12:20 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
2009-02-20 12:20 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
2009-02-20 07:14 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
2009-02-09 16:17 1,846,400 a------- c:\windows\system32\win32k.sys
2009-02-09 16:17 1,846,400 -------- c:\windows\system32\dllcache\win32k.sys
2009-02-09 13:50 2,017,792 -------- c:\windows\system32\dllcache\ntkrpamp.exe
2009-02-09 13:50 2,059,776 a------- c:\windows\system32\ntkrnlpa.exe
2009-02-09 13:50 2,059,776 -------- c:\windows\system32\dllcache\ntkrnlpa.exe
2009-02-09 13:50 2,182,528 a------- c:\windows\system32\ntoskrnl.exe
2009-02-09 13:50 2,182,528 -------- c:\windows\system32\dllcache\ntoskrnl.exe
2009-02-09 13:50 2,138,112 -------- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-02-09 12:20 730,112 a------- c:\windows\system32\lsasrv.dll
2009-02-09 12:20 730,112 -------- c:\windows\system32\dllcache\lsasrv.dll
2009-02-09 12:20 685,056 a------- c:\windows\system32\advapi32.dll
2009-02-09 12:20 399,360 a------- c:\windows\system32\rpcss.dll
2009-02-09 12:20 739,840 a------- c:\windows\system32\ntdll.dll
2009-02-09 12:08 111,104 a------- c:\windows\system32\services.exe
2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

============= FINISH: 23:15:26,48 ===============

rapport (option 1) Toolbar-S&D:

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
BIOS : Award Medallion BIOS v6.00PG
USER : DANIEL ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:143 Go (Free:112 Go)
D:\ (CD or DVD)
E:\ (USB)
F:\ (USB)
G:\ (USB)
H:\ (USB)
I:\ (USB)
K:\ (CD or DVD)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 08/05/2009|23:04 )

-----------\\ Recherche de Fichiers / Dossiers ...


-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Local Page"="C:\\windows\\system32\\blank.htm"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


--------------------\\ Recherche d'autres infections

--------------------\\ ROGUES ..

C:\DOCUME~1\CHRIST~1\APPLIC~1\VirusRemover2009
C:\DOCUME~1\DANIEL\APPLIC~1\VirusRemover2009




1 - "C:\ToolBar SD\TB_1.txt" - 08/05/2009|23:06 - Option : [1]

-----------\\ Fin du rapport a 23:06:48,14






Répondre à bauer45
hyunkel30   10-05-2009 à 18:06:42
- 0 +

;) Re,

Tu avais bien "fixer" toutes les lignes et supprimé les fichier ?

On continu :

1)Télécharge SDFix (de AndyManchesta).

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.


2) Redémarre en Mode Sans Echec :
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
-- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
--- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

3) Lance Hijackthis
( Situé ici : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe )

Clic sur :
http://images.imagehotel.net/qkycrnfje7.png

Coche ces lignes (si présentes):

Citation :


O3 - Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
O3 - Toolbar: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
O4 - HKCU\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKCU\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
O4 - HKLM\...\Run: [userinit] c:\windows\system32\ntos.exe
O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
O7 - HKLM\...\Explorer: NoSetActiveDesktop = 1 (0x1)
O22 - SharedTaskScheduler: IPC Configuration Utility - No File
O22 - SharedTaskScheduler: (no name) {020487CC-FC04-4B1E-863F-D9801796230B} - No File



Et clic sur : "Fix checked" en bas

Valide et ferme

4) Affiche les fichiers et dossiers cachés :
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :

  • Coche Afficher les fichiers et dossiers cachés
  • Décoche Masquer les extensions des fichiers dont le type est connu
  • Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

clique sur Appliquer, puis OK.

-> Recherche et supprime ces fichiers/dossiers (si présent) :

Citation :


C:\Documents and Settings\CHRISTINE\Application Data\VirusRemover2009
C:\Documents and Settings\DANIEL\Application Data\VirusRemover2009
c:\windows\system32\activedsn.exe
c:\windows\system32\ntos.exe
c:\windows\system32\tmp.reg



N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation, à présent, c'est important : Des fichiers systèmes sont accessible sous cette option, et une manipulation hasardeuse sur eux peut entaîner un plantage du système.
Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :

  • Coche Ne pas afficher les fichiers et dossiers cachés
  • Coche Masquer les extensions des fichiers dont le type est connu
  • Coche Masquer les fichiers protégés du système d'exploitation (recommandé)

clique sur Appliquer, puis OK.

5) Lance SDFix, pour cela :

  • Ouvre le dossier SDFix qui a été créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension .bat peut ne pas apparaitre)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer, fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.


Il se trouve également dans le dossier SDFix : >Report.txt<

Note : Si SDFix ne se lance pas (ça arrive!)

* Démarrer->Exécuter
* Copie/colle ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe


* Clique sur ok, et valide.
* Redémarre et essaye de nouveau de lancer SDFix.

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
hyunkel30   18-05-2009 à 16:44:01
- 0 +

Up,

Encore là bauer ?
[:_tom_:7]

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   18-05-2009 à 21:35:14
- 0 +

Bonsoir hyunkel,

Désolé pour le retard ( petit problème technique ...) :(

Voiçi le rapport SDFix que tu m'as demandé:

SDFix: Version 1.240
Run by DANIEL on 18/05/2009 at 20:03

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Documents and Settings\DANIEL\new.txt - Deleted



Folder C:\WINDOWS\system32\wsnpoem - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-18 20:14:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:aee86b5a
"s2"=dword:755a84c3
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,b5,10,c3,45,8d,17,d0,0d,c4,a4,71,78,21,31,f5,29,4d,f2,b2,30,..
"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,25,ce,a2,e7,12,eb,6b,8b,6d,10,ff,0f,e3,7f,75,df,db,..
"khjeh"=hex:c2,5b,aa,b2,a5,9f,8b,e2,f1,d9,de,1a,7f,ae,58,97,25,3a,3d,40,34,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:f8,d4,3d,21,20,9b,e7,45,c5,88,07,7b,24,53,c3,4e,40,db,da,e3,b1,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:d8,b5,10,c3,45,8d,17,d0,0d,c4,a4,71,78,21,31,f5,29,4d,f2,b2,30,..
"p0"="C:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,25,ce,a2,e7,12,eb,6b,8b,6d,10,ff,0f,e3,7f,75,df,db,..
"khjeh"=hex:c2,5b,aa,b2,a5,9f,8b,e2,f1,d9,de,1a,7f,ae,58,97,25,3a,3d,40,34,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:f8,d4,3d,21,20,9b,e7,45,c5,88,07,7b,24,53,c3,4e,40,db,da,e3,b1,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000d5

scanning hidden files ...

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 65536 bytes

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
"%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:PANDORA"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\APPS\\Inventime\\my.exe"="C:\\APPS\\Inventime\\my.exe:*:Enabled:INVENTIME"
"C:\\WINDOWS\\system32\\lxbycoms.exe"="C:\\WINDOWS\\system32\\lxbycoms.exe:*:Disabled:P910 Series Server"
"C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
"C:\\Program Files\\ZoomText 8.1\\zt8.exe"="C:\\Program Files\\ZoomText 8.1\\zt8.exe:LocalSubNet:Enabled:ZoomText 8.1"
"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\ZoomText 9.1\\zt.exe"="C:\\Program Files\\ZoomText 9.1\\zt.exe:LocalSubNet:Enabled:ZoomText 9.1"
"C:\\DOCUME~1\\DANIEL\\LOCALS~1\\Temp\\pinnew.exe"="C:\\DOCUME~1\\DANIEL\\LOCALS~1\\Temp\\pinnew.exe:*:Enabled:Enabled"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\ZoomText 8.1\\zt8.exe"="C:\\Program Files\\ZoomText 8.1\\zt8.exe:LocalSubNet:Enabled:ZoomText 8.1"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\ZoomText 9.1\\zt.exe"="C:\\Program Files\\ZoomText 9.1\\zt.exe:LocalSubNet:Enabled:ZoomText 9.1"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 30 Mar 2005 215 A.SHR --- "C:\BOOT.BAK"
Fri 12 Mar 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
Fri 12 Mar 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
Fri 12 Mar 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Thu 5 Mar 2009 40,960 ..SHR --- "C:\WINDOWS\system32\activedsn.exe"
Sat 7 Oct 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Wed 20 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Fri 12 Mar 2004 106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"
Fri 17 Nov 2006 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5a0d771158cfd69be5ddd26d8f58c73b\BIT4.tmp"

Finished!


Répondre à bauer45
hyunkel30   26-05-2009 à 22:55:44
- 0 +

Re,

;) Désolé du retard à mon tour ...

Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.
  • Ferme le programme


Redémarre le pc en mode sans échec : Méthode F8 obligatoire !

/!\ - Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
-- je t'invite donc à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
--- /!\ Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

  • Lance à nouveau Malwarebyte's.
  • Choisi "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.


  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


Si ce n'est pas fait, redémarre normalement.
Et poste le rapport

Une aide à l'utilisation ici

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   31-05-2009 à 13:04:35
- 0 +

Bonjour, voici le rapport que tu m'as demandé:

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2185
Windows 5.1.2600 Service Pack 2

27/05/2009 20:46:13
mbam-log-2009-05-27 (20-46-13).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 226634
Temps écoulé: 1 hour(s), 16 minute(s), 26 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 11
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 6
Fichier(s) infecté(s): 18

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ExtSecurityCenter (Rogue.ExtSecurityCenter) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\Montorgueil (Dialer) -> Quarantined and deleted successfully.
c:\program files\montorgueil\laetitia-video-baise (Dialer) -> Quarantined and deleted successfully.
c:\documents and settings\christine\application data\VirusRemover2009 (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\documents and settings\christine\application data\virusremover2009\Logs (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\documents and settings\DANIEL\application data\VirusRemover2009 (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\documents and settings\DANIEL\application data\virusremover2009\Logs (Rogue.VirusRemover) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\program files\trend micro\hijackthis\backups\backup-20090508-220938-381.dll (Adware.PopCap) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP674\A0170468.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP674\A0170469.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP684\A0176409.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195695.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195696.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195697.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195698.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195699.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195700.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195701.dll (Trojan.Vundo.V) -> Quarantined and deleted successfully.
c:\program files\montorgueil\14.06228 (Dialer) -> Quarantined and deleted successfully.
c:\program files\montorgueil\laetitia-video-baise\laetitia-video-baise.ico (Dialer) -> Quarantined and deleted successfully.
c:\documents and settings\christine\application data\virusremover2009\Logs\scns.log (Rogue.VirusRemover) -> Quarantined and deleted successfully.
c:\documents and settings\DANIEL\application data\virusremover2009\Logs\scns.log (Rogue.VirusRemover) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\activedsn.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\DANIEL\Application Data\config.cfg (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\DANIEL\Application Data\~tmp.html (Malware.Trace) -> Quarantined and deleted successfully.



Bonne journée (ensoleillée je pense)

Répondre à bauer45
hyunkel30   01-06-2009 à 14:29:27
- 0 +

;) Re,

Le plus gros est fait, la suite :

1) Télécharge CCleaner Slim (sans toolbar) de Piriform :

  • Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici)
  • Ceci terminé, lance le programme.
  • Choisis Options -> Avancé -> et décoche "Effacer uniquement les fichiers du dossier temp plus vieux que 48h"
  • Choisis "Nettoyeur" puis clique sur "Analyse"
  • Laisse faire puis clique sur "Lancer le nettoyage" et accepte l'avertissement avec "Oui"


  • Choisis ensuite "Registre" puis clique sur "Chercher les erreurs"
  • Laisse faire le scan puis clique sur "Réparer les erreurs sélectionnées"
  • Enregistre la sauvegarde en cliquant sur "Oui"
  • puis clique sur "Corriger toutes les erreurs sélectionnées"
  • Valide l'avertissement en cliquant sur "Oui"


  • Ferme le programme


2) Effectue ce scan en ligne :

Webscanner Kaspersky

puis

http://images.imagehotel.net/skuz8ezd47.jpg

  • Accepte la licence
  • Accepte le contrôle ActiveX
  • Attends la fin du chargement de la base puis clique sur Suivant.
  • Dans Analyser avec la base antivirus suivante cocher étendue. A défaut, choisir Standard.
  • Dans Options d'analyse, cocher Analyser les archives + Analyser les bases de messagerie.

=> Puis valider en cliquant sur Ok

-> Choisir "Poste de travail" et laisser faire (peut durer plus d'une heure)

Sauvegarder le rapport à la fin (cliquer sur Enregistrer le rapport)
Poste le rapport obtenu

3) Effectue un nouveau scan avec DDS :
et poste-moi le rapport DDS.txt

=> dans ta prochaine réponse, il me faut le rapport Kaspersky et DDS.txt

[:_tom_:7]

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
bauer45   22-06-2009 à 22:39:23
- 0 +

Désolé pour l'enorme retard...

Le rapport Kaspersky:

lundi 22 juin 2009
Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Version de Kaspersky Online Scanner : 7.0.26.13
Dernière mise à jour de la base : Monday, June 22, 2009 14:31:20
Enregistrements dans la base : 2377247


Paramètres d'analyse
analyser avec la base suivante étendue
Analyser les archives oui
Analyser les bases de messagerie oui

Zone d'analyse Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\
K:\

Statistiques d'analyse
Objets analysés 110561
Menaces trouvées 2
Objets infectés trouvés 6
Objets suspects trouvés 0
Durée d'analyse 01:36:17

Nom de fichier Menace Compteur de menaces
C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe Infecté : not-a-virus:Downloader.Win32.ImLoader.n 1

C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_install.exe Infecté : not-a-virus:Downloader.Win32.ImLoader.n 1

C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_installer.exe Infecté : not-a-virus:Downloader.Win32.ImLoader.n 1

C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_installer.exe.tcmp Infecté : not-a-virus:Downloader.Win32.ImLoader.n 1

C:\Program Files\DAEMON Tools\SetupDTSB.exe Infecté : not-a-virus:WebToolbar.Win32.WhenU.a 1

C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe Infecté : not-a-virus:Downloader.Win32.ImLoader.n 1

La zone sélectionnée a été analysée.

Le rapport DDS:

DDS (Ver_09-03-16.01) - NTFSx86
Run by DANIEL at 19:27:28,43 on 22/06/2009
Internet Explorer: 7.0.5730.11
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.127 [GMT 2:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
svchost.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
C:\Program Files\Lexmark P910 Series\lxbymon.exe
C:\Program Files\Lexmark P910 Series\ezprint.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
C:\WINDOWS\system32\lxbycoms.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\DANIEL\Bureau\dds.scr

============== Pseudo HJT Report ===============

uWindow Title = Packard Bell
uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
BHO: 1 (0x1) - No File
BHO: GamesBarBHO Class: {cb0d163c-e9f4-4236-9496-0597e24b23a5} - c:\program files\gamesbar\oberontb.dll
TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
TB: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
IE: {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - hxxp://webscanner.kaspersky.fr/kavwebscan_unicode.cab
DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

============= SERVICES / DRIVERS ===============

R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

=============== Created Last 30 ================

2009-06-09 21:40 <DIR> --d----- c:\windows\system32\Kaspersky Lab
2009-06-07 17:54 <DIR> --d----- c:\docume~1\alluse~1\applic~1\GamesBar
2009-06-07 17:54 <DIR> --d----- c:\program files\GamesBar
2009-06-07 17:53 <DIR> --d----- c:\program files\Oberon Media
2009-06-07 17:53 <DIR> --d----- c:\program files\fichiers communs\Oberon Media
2009-05-27 19:19 <DIR> --d----- c:\docume~1\daniel\applic~1\Malwarebytes
2009-05-27 19:19 40,160 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-27 19:19 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-05-27 19:19 19,096 a------- c:\windows\system32\drivers\mbam.sys
2009-05-27 19:19 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware

==================== Find3M ====================

2009-05-07 17:43 347,136 a------- c:\windows\system32\localspl.dll
2009-05-07 17:43 347,136 -------- c:\windows\system32\dllcache\localspl.dll
2009-04-28 11:06 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
2009-04-28 11:06 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
2009-04-25 07:27 636,088 -------- c:\windows\system32\dllcache\iexplore.exe
2009-04-25 07:26 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
2009-04-19 22:09 1,846,784 a------- c:\windows\system32\win32k.sys
2009-04-19 22:09 1,846,784 -------- c:\windows\system32\dllcache\win32k.sys
2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
2009-04-15 17:30 583,168 a------- c:\windows\system32\rpcrt4.dll
2009-04-15 17:30 583,168 -------- c:\windows\system32\dllcache\rpcrt4.dll
2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

============= FINISH: 19:28:55,26 ===============

Avec mes excuses



Répondre à bauer45
hyunkel30   02-07-2009 à 10:31:41
- 0 +

[:arslan:13] Salut,

:D Je croyais réellement t'avoir perdu .. on repars alors ;)

Tu as réinstallé une toolbar frauduleuse : Oberon
Faite attention à ceux qu'on vous propose et n'installez pas sans savoir ...

1) Relance Toolbar-S&D (Team IDN) via le raccourci sur ton bureau

  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.[/li]
  • Poste le rapport généré. (C:\TB.txt)


2) Installe un antivirus

Apparemment, il n'y a aucun antivirus d'installé et d'actif sur le PC.
Je te conseille d'installer l'un de ces deux antivirus gratuit et performant :
Antivir ou AVG

Ensuite, effectue un scan complet en mode sans échec

Dans ta prochaine réponse, il me faut :
- Le rapport option 1 de toolbarSD
- Le rapport de ton antivirus

:AAN

------------------------------ "le brave n'est pas celui qui ne connait pas la peur, c'est celui qui fait ce qu'il a à faire en dépit de sa peur. Pour réussir, il faut être prêt à risquer l'échec."R.E Feist

Petit forum sans prétention
 Répondre à hyunkel30
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Sécurité - Virus > Trojan.FakeAV.GR
Aller à :

Il y a 2270 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,410 secondes
Liens