internert explorer, ouvre souvent pub ex go.google.com

radjar le 17 janvier 2009 à 14h42

bonjour a tous je crois etre infecter par quelque virus,avec spybot s&d il detecte zango,virtumonde et smitfrauud je crois bref il nest pas capable de les eliminer.

depuis peu je ne peux plus me servir de spybot,jai re-installe, mais maintenant ca dt unable to connect to server (pour update) 127.0.0.1

en vous remerciant davance

jattends de vos nouvelles a bientot

répondre

kmisol le 17 janvier 2009 à 14h59

radjar

Télécharge, installe et mets à jour Malwarebytes Anti-malware ;
puis, fais un scan complet et poste le rapport.

Si MalwareByte's a détecté des infections, clique sur Afficher les résultats,
puis sur Supprimer la sélection.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 17 janvier 2009 à 15h50

je suis incapable douvrir la page pour telecharger ce logiciel

ya til un autre lien ^

répondre

radjar le 17 janvier 2009 à 16h58

jai trouver un autre lien, en esperant que cest le bon logiciel, linstallation gele vers la fin, ca dit finalisation de linstallation mais la barre bleu ne bouge plus et je ne peux canceler annuler.

répondre

radjar le 17 janvier 2009 à 17h43

jai reussi a linstaller mais il ne veut pas loader, tout comme spybot jai supprimer puis re-installer mais rien ne load, quand je fais ctrl alt delete je vois les applications comme spybot et malwarebytes en double et en triple(et plus) mais rien ne load

répondre

kmisol le 17 janvier 2009 à 18h54

...

Quel est ton système d' exploitation ?

XP, Vista, etc ...

PS : ne télécharge pas Malwarebytes sur n' importe quel site !

-->Message édité par kmisol le 17/01/2009 18:55:27<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 17 janvier 2009 à 19h17

windows xp

répondre

kmisol le 17 janvier 2009 à 19h19

...

Fais un clic-droit sur > SdFix < (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec (de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur
RunThis.cmd (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te
demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va
continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera
Aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 17 janvier 2009 à 20h56

SDFix: Version 1.240
Run by Administrateur on 2009-01-17 at 14:40

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
FCI
ICF
restore

Path :
C:\WINDOWS\system32\fci.exe.exe:ext.exe
C:\WINDOWS\system32\svchost.exe:ext.exe
\??\C:\WINDOWS\system32\drivers\restore.sys

FCI - Deleted
ICF - Deleted
restore - Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\FCIEXE~1.EXE - Deleted
C:\182863~1 - Deleted
C:\Temp\1cb\syscheck.log - Deleted
C:\WINDOWS\system32\fci.exe.exe - Deleted
C:\WINDOWS\system32\TDSSlxwp.dll - Deleted
C:\WINDOWS\system32\TDSSosvd.dat - Deleted
C:\WINDOWS\system32\TDSStkdv.log - Deleted

Could Not Remove C:\WINDOWS\system32\TDSSofxh.dll
Could Not Remove C:\WINDOWS\system32\TDSSbrsr.dll
Could Not Remove C:\WINDOWS\system32\TDSSriqp.dll
Could Not Remove C:\WINDOWS\system32\TDSScfum.dll

Folder C:\Temp\1cb - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-17 14:53:13
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

disk error: C:\WINDOWS\system32\config\system, 0
scanning hidden registry entries ...

disk error: C:\WINDOWS\system32\config\software, 0
disk error: C:\Documents and Settings\Proprio\ntuser.dat, 0
scanning hidden files ...

disk error: C:\WINDOWS\

please note that you need administrator rights to perform deep scan

Remaining Services :

Authorized Application Key Export:

répondre

kmisol le 17 janvier 2009 à 21h32

...

Télécharge et installe SmitFraudFix (par S!Ri)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt

Poste-le.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 17 janvier 2009 à 21h55

SmitFraudFix v2.391

Rapport fait à 15:54:09.56, 17/01/2009
Executé à partir de C:\Documents and Settings\Proprio\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Documents and Settings\Proprio\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

Fichier hosts corrompu !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
127.0.0.1 www.spywareinfo.com
127.0.0.1 spywareinfo.com

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Proprio

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Proprio\LOCALS~1\Temp

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Proprio\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Proprio\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\Google\googletoolbar1.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C5BF49A2-94F3-42BD-F434-3604812C8955}"="jgzfkj9w38rksndfi7r4"

[HKEY_CLASSES_ROOT\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="lphqul.dll tuibis.dll"
"LoadAppInit_DLLs"=dword:00000001

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: ULi PCI Fast Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

répondre

kmisol le 17 janvier 2009 à 22h01

...

Redémarre le PC en mode sans échec …
(méthode F8 de préférence)

Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 2 et appuie sur "Entrée".
Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
sur "Entrée" ....
Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
Le rapport se trouve à la racine du disque système C:\rapport.txt

Poste-le.

---
1. Télécharge R-Hosts (par siri) :

Installe-le sur le Bureau.
Lance le ; puis, clique sur > Restaurer.
Confirme.
Ferme le programme.

2. Redémarre ton programme et poste un log. HijackThis.

-->Message édité par kmisol le 17/01/2009 22:04:00<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 17 janvier 2009 à 22h42

SmitFraudFix v2.391

Rapport fait à 16:26:35.78, 17/01/2009
Executé à partir de C:\Documents and Settings\Proprio\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C5BF49A2-94F3-42BD-F434-3604812C8955}"="jgzfkj9w38rksndfi7r4"

[HKEY_CLASSES_ROOT\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
...

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{00FF4544-8D4C-4C23-8FB8-CED2423D539C}: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{C5BF49A2-94F3-42BD-F434-3604812C8955}"="jgzfkj9w38rksndfi7r4"

[HKEY_CLASSES_ROOT\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{C5BF49A2-94F3-42BD-F434-3604812C8955}\InProcServer32]
@="C:\WINDOWS\system32\rwhbfb873unjdfdg.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Fin

répondre

radjar le 17 janvier 2009 à 22h55

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:29, on 17/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\DOCUME~1\Proprio\LOCALS~1\Temp\Répertoire temporaire 1 pour hijackthis_v2.0.2.zip\HJTInstall.exe
C:\Documents and Settings\Proprio\Bureau\HJTInstall.exe
C:\Documents and Settings\Proprio\Bureau\HJTInstall.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\Proprio\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sympatico.msn.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {3e0b2842-4fe8-46ad-8edc-812140058158} - C:\WINDOWS\system32\ljJAPJCt.dll (file missing)
O2 - BHO: (no name) - {558CE575-4826-4DD4-8435-873A26FC1D2C} - C:\WINDOWS\system32\mlJBSlJB.dll (file missing)
O2 - BHO: (no name) - {59650CB3-18B0-47F8-B93A-35E27BCC901E} - C:\WINDOWS\system32\khfCuRkI.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {a9126dee-34c8-4202-a045-484d1588b81e} - (no file)
O2 - BHO: C:\WINDOWS\system32\rwhbfb873unjdfdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\rwhbfb873unjdfdg.dll (file missing)
O2 - BHO: (no name) - {D472863E-CDFD-4C6C-81A5-59E8996AD62A} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZangoOE] C:\Program Files\Zango\bin\10.3.75.0\OEAddOn.exe
O4 - HKLM\..\Run: [ZangoSA] "C:\Program Files\Zango\bin\10.3.75.0\ZangoSA.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Bzogeciqusol] rundll32.exe "C:\WINDOWS\Vcaholedunumulo.dll",e
O4 - HKLM\..\Run: [Slipel] rundll32.exe "C:\WINDOWS\esiquwezanonulur.dll",e
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\Proprio\LOCALS~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Documents and Settings\Proprio\winlogon.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA4489] command /c del "C:\WINDOWS\system32\TDSStkdv.log_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2712] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2264] command /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3551] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\Proprio\LOCALS~1\Temp\winlogin.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9342] command /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2071] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ed80217-570b-4da9-bf44-be107c0ec166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O20 - AppInit_DLLs: lphqul.dll tuibis.dll
O20 - Winlogon Notify: gvhebdt - gvhebdt32.dll (file missing)
O20 - Winlogon Notify: jkkHYqRK - jkkHYqRK.dll (file missing)
O20 - Winlogon Notify: nnnlkjHY - nnnlkjHY.dll (file missing)
O20 - Winlogon Notify: qomccbrs - C:\WINDOWS\
O20 - Winlogon Notify: rqRIbaxy - rqRIbaxy.dll (file missing)
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\rwhbfb873unjdfdg.dll (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 9088 bytes

répondre

kmisol le 17 janvier 2009 à 23h38

...

C:\DOCUME~1\Proprio\LOCALS~1\Temp\Répertoire temporaire 1 pour HiJackThis.zip\HijackThis.exe

HijackThis est mal installé !

L' installation par défaut doit te donner :

C:\Program files\Trend Micro\HijackThis\HijackThis.exe

---
Fais ce qui suit ... dans l' ordre :

Redémarre le PC en mode sans échec …
(méthode F8 de préférence)

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Affiche les fichiers et dossiers cachés …
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images".
Ensuite, clique sur > Outils > Options des dossiers ...
clique sur l' onglet « Affichage » et ...
coche --> Afficher les fichiers et dossiers cachés
décoche > Masquer les extensions des fichiers dont le type est connu
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé).
« Appliquer » et « OK ».

(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas >>> "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …

Ensuite, arrête le service Boonty Games :

Clique droit sur le Poste de travail, puis Gérer.
Double-clique sur Services et Applications, puis double-clique sur Services.
Dans la liste des services, cherche celui nommé précisément Boonty Games.
Double-clique dessus.
Vérifie que dans "Chemin d'accès des fichiers executables", tu as bien :

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Si c'est le cas:
Dans "Etat du service", clique sur Arrêter ;
Dans "Type de démarrage", choisis Désactiver.
Fais OK pour fermer toutes les fenêtres.

Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: (no name) - {3e0b2842-4fe8-46ad-8edc-812140058158} - C:\WINDOWS\system32\ljJAPJCt.dll (file missing)
O2 - BHO: (no name) - {558CE575-4826-4DD4-8435-873A26FC1D2C} - C:\WINDOWS\system32\mlJBSlJB.dll (file missing)
O2 - BHO: (no name) - {59650CB3-18B0-47F8-B93A-35E27BCC901E} - C:\WINDOWS\system32\khfCuRkI.dll (file missing)
O2 - BHO: (no name) - {a9126dee-34c8-4202-a045-484d1588b81e} - (no file)
O2 - BHO: C:\WINDOWS\system32\rwhbfb873unjdfdg.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\rwhbfb873unjdfdg.dll (file missing)
O2 - BHO: (no name) - {D472863E-CDFD-4C6C-81A5-59E8996AD62A} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [ZangoOE] C:\Program Files\Zango\bin\10.3.75.0\OEAddOn.exe
O4 - HKLM\..\Run: [ZangoSA] "C:\Program Files\Zango\bin\10.3.75.0\ZangoSA.exe"
O4 - HKLM\..\Run: [Bzogeciqusol] rundll32.exe "C:\WINDOWS\Vcaholedunumulo.dll",e
O4 - HKLM\..\Run: [Slipel] rundll32.exe "C:\WINDOWS\esiquwezanonulur.dll",e
O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\Proprio\LOCALS~1\Temp\winlogin.exe
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Documents and Settings\Proprio\winlogon.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA4489] command /c del "C:\WINDOWS\system32\TDSStkdv.log_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC2712] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA2264] command /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKLM\..\RunOnce: [SpybotDeletingC3551] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKCU\..\Run: [jsf8uiw3jnjgffght] C:\DOCUME~1\Proprio\LOCALS~1\Temp\winlogin.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB9342] command /c del "C:\WINDOWS\system32\TDSStkdv.log"
O4 - HKCU\..\RunOnce: [SpybotDeletingD2071] cmd /c del "C:\WINDOWS\system32\TDSStkdv.log"
O20 - AppInit_DLLs: lphqul.dll tuibis.dll
O20 - Winlogon Notify: gvhebdt - gvhebdt32.dll (file missing)
O20 - Winlogon Notify: jkkHYqRK - jkkHYqRK.dll (file missing)
O20 - Winlogon Notify: nnnlkjHY - nnnlkjHY.dll (file missing)
O20 - Winlogon Notify: qomccbrs - C:\WINDOWS\
O20 - Winlogon Notify: rqRIbaxy - rqRIbaxy.dll (file missing)
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\rwhbfb873unjdfdg.dll (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Rends-toi dans > Démarrer > Panneau de config. > Ajout/suppres… de prog.

Supprime, si tu le(s) trouves > Zango

Ensuite, va dans > Démarrer > Poste de travail > C:\

et, en suivant le chemin, supprime (clic droit dessus > Supprimer)
le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\Program Files\Zango <--
C:\WINDOWS\Vcaholedunumulo.dll
C:\WINDOWS\esiquwezanonulur.dll
C:\Documents and Settings\Proprio\winlogon.exe

Vide la Corbeille.

Relance HijackThis.
Clique sur None of the above Just start The Program.
Clique sur le bouton Config, puis sur le bouton Misc Tools.
Ensuite choisis Delete a NT Service.
Dans le champ tu copies exactement le nom suivant : Boonty Games, puis OK.

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

[:lolo 1:7]

Remet les fichiers et dossiers cachés comme tu les as trouvés !

Redémarre le PC en mode normal ...

Relance un scan HijackThis et poste le rapport.

-->Message édité par kmisol le 17/01/2009 23:38:57<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 18 janvier 2009 à 14h50

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:07, on 18/01/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Documents and Settings\Proprio\Bureau\HJTInstall.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sympatico.msn.ca/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O3 - Toolbar: Barre d'outils MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\fr\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Slipel] rundll32.exe "C:\WINDOWS\esiquwezanonulur.dll",e
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ed80217-570b-4da9-bf44-be107c0ec166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game02.zylom.com/activex/zylomgamesplayer.cab
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6285 bytes

répondre

kmisol le 18 janvier 2009 à 15h26

...

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous
(copie tout d'un trait) :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Slipel"=-

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela < inclued picture >

Quitte Internet et double clique sur fix2.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "Oui".

Ensuite, ...

Relance un scan HijackThis et reviens me dire si tu vois tjrs cette ligne :

O4 - HKLM\..\Run: [Slipel] rundll32.exe "C:\WINDOWS\esiquwezanonulur.dll",e

(ne poste pas le rapport HijackThis).

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 18 janvier 2009 à 15h54

je ne vois plus la ligne

répondre

kmisol le 18 janvier 2009 à 15h56

...

Fais une tentative avec Malwarebytes.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 18 janvier 2009 à 16h11

ne veut pas souvrir, jai tenter de re-installer mais gele a extraction des fichiers

répondre

radjar le 18 janvier 2009 à 16h12

rendu a finalisation de linstallation...en attente...a suivre

répondre

radjar le 18 janvier 2009 à 18h45

apres linstallation on ma demander si je voulais lancer lapplication et faire les mises a jour jai laisser les 2 options coche....jai cliker terminer....apres 20 min toujours rien,jai redemarrer en mode normale et une fois sans echec, impossible de lancer malwarebyte

répondre

kmisol le 18 janvier 2009 à 19h22

...

Télécharge UsbFix (par Chiquitine29) sur ton Bureau :
Lance l’ installation avec les paramètres par défaut.

Déconnectes-toi d’ Internet et ferme toutes les applications en cours.

Branche tes sources de données externes à ton PC
(clé USB, disque dur externe, etc ...) sans les ouvrir.

Double-clique sur le raccourci UsbFix sur ton Bureau.
Choisis l' option : Nettoyage.
Le PC va redémarrer.

Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque dur (C:\UsbFix.txt].

PS : Si le Bureau ne réapparait pas, presse Ctrl/Alt/Suppr, onglet "Fichier",
"Nouvelle tâche", tape explorer.exe et valide

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 18 janvier 2009 à 20h05

-------------- UsbFix V2.414.3 ---------------

* User : Proprio - MAISON-3DC8AF6E
* Outils mis a jours le 18/01/2009 par Chiquitine29 et Chimay8
* Recherche effectuée à 14:01:18 le 18/01/2009
* Windows Xp - Internet Explorer 7.0.5730.13

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe

--------------- [ Informations lecteurs ] ----------------

C: - Lecteur fixe

D: - Lecteur fixe

F: - Lecteur de CD-ROM

--------------- [ Lecteur C ] ----------------

C: - Lecteur fixe

+- Listing des fichiers présents :

[21/06/2008 09:52][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[16/01/2009 19:15][--a------] C:\mywyxngk.exe
[16/01/2009 19:15][--a------] C:\vkefbog.exe
[16/01/2009 19:15][--a------] C:\yjqcq.exe
[21/06/2008 14:03][---hs----] C:\boot.ini
[21/06/2008 14:03][---hs----] C:\desktop.ini
[17/01/2009 16:32][--a------] C:\rapport.txt
[17/01/2009 16:32][--a------] C:\UsbFix.txt
[21/06/2008 09:52][--a------] C:\CONFIG.SYS
[21/06/2008 09:52][--a------] C:\hiberfil.sys
[21/06/2008 09:52][--a------] C:\IO.SYS
[21/06/2008 09:52][--a------] C:\MSDOS.SYS
[21/06/2008 09:52][--a------] C:\pagefile.sys

--------------- [ Lecteur D ] ----------------

D: - Lecteur fixe

+- Listing des fichiers présents :

--------------- [ Lecteur F ] ----------------

F: - Lecteur de CD-ROM

+- Listing des fichiers présents :

--------------- [ Registre / Startup ] ----------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MsnMsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
LogitechCommunicationsManager="C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe"
LogitechQuickCamRibbon="C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
HP Software Update=C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
SunJavaUpdateSched="C:\Program Files\Java\jre6\bin\jusched.exe"
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=

--------------- [ Registre / Mountpoint2 ] ----------------

Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d8d2fe7a-5062-11dd-b7bb-000b6a7be87f}\Shell\AutoRun\command

--------------- [ Nettoyage des disques ] ----------------

Supprimé ! - [17/01/2009 16:27][--a------] C:\WINDOWS\system32\tmp.reg
Supprimé ! - [17/01/2009 16:27][--a------] C:\WINDOWS\system32\tmp.txt

--------------- [ Resumé ] ----------------

-> /!\ Le resultat doit etre [http://www.virustotal.com/fr/ interprété] par un spécialiste /!\

[21/06/2008 09:52][--a------] C:\AUTOEXEC.BAT
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM
[16/01/2009 19:15][--a------] C:\mywyxngk.exe
[16/01/2009 19:15][--a------] C:\vkefbog.exe
[16/01/2009 19:15][--a------] C:\yjqcq.exe
[21/06/2008 14:03][---hs----] C:\boot.ini
[21/06/2008 14:03][---hs----] C:\desktop.ini

--------------- [ Vaccination ] ----------------

C:\autorun.inf -> Dossier autorun.inf crée par UsbFix !
D:\autorun.inf -> Dossier autorun.inf crée par UsbFix !

--------------- ! Fin du rapport ! ----------------

répondre

kmisol le 18 janvier 2009 à 23h40

...

Essaie Malwarebytes !

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 19 janvier 2009 à 03h41

ne veut pas souvrir

répondre

kmisol le 19 janvier 2009 à 19h37

radjar

Clique droit sur < ComboFix (par sUBs).

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "combofix" en combo-fix.exe

Ferme toutes les fenêtres et applications + messagerie.
Déconnectes-toi du net et désactive tes protections résidentes
(antivirus, antispyware, etc ...) :
http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm

Sur le bureau, double clique combo-fix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
ComboFix redémarrera ton PC.
Lorsque le scan sera complété, un rapport apparaîtra.
Copie/colle ce rapport dans ta prochaine réponse et nouveau rapport hijackthis

PS : Le rapport se trouve également ici : C:\Combofix.txt

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 20 janvier 2009 à 01h11

je sais pas si jai bien fait mais... tout les liens qu on me proposait sur le site ne marchait pas,javais toujours internet ne peut ouvrir la page. jai fait des recherches sur google pour le virus go.google.com, et je suis tomber sur cette procedure....

Last Method to Remove Go.google.com virus

Go to Start > Control Panel > System > Hardware > Device Manager > View > Show Hidden Devices.

Scroll down to “Non-plug and Play Drivers” and click the plus icon to open those drivers.

Then search for “TDSSserv.sys”

Right click on it, and select “Disable”

Note: If you select Uninstall, it will install itself again when you reboot the system, so DON’T select Uninstall.
.............................................................................

depuis, je peux acceder au site pour ENFIN

telecharger le logiciel. voici le rapport.
...............................................................................

Last Method to Remove Go.google.com virus

Go to Start > Control Panel > System > Hardware > Device Manager > View > Show Hidden Devices.

Scroll down to “Non-plug and Play Drivers” and click the plus icon to open those drivers.

Then search for “TDSSserv.sys”

Right click on it, and select “Disable”

Note: If you select Uninstall, it will install itself again when you reboot the system, so DON’T select Uninstall.

répondre

radjar le 20 janvier 2009 à 02h16

ComboFix 09-01-19.03 - Proprio 2009-01-19 18:57:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.2.1036.18.1023.708 [GMT -5:00]
Lancé depuis: c:\documents and settings\Proprio\Bureau\combo-fix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\cookies.ini
c:\windows\system32\avhoslmb.dll
c:\windows\system32\BJlSBJlm.ini
c:\windows\system32\bvidmr.dll
c:\windows\system32\cjpdmnxi.dll
c:\windows\system32\Drivers\TDSSpqlt.sys
c:\windows\system32\gvhebdt.dll
c:\windows\system32\IkRuCfhk.ini
c:\windows\system32\jhwygvnb.ini
c:\windows\system32\jQpYacfe.ini
c:\windows\system32\kdpkzv.dll
c:\windows\system32\mcrh.tmp
c:\windows\system32\mdm.exe
c:\windows\system32\setup.ini
c:\windows\system32\TDSSbrsr.dll
c:\windows\system32\TDSScfum.dll
c:\windows\system32\TDSSofxh.dll
c:\windows\system32\TDSSosvd.dat
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSStkdv.log
c:\windows\system32\tuibis.dll
c:\windows\system32\vjhwvrnx.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-19 au 2009-01-19 ))))))))))))))))))))))))))))))))))))
.

2009-01-18 13:58 . 2009-01-19 07:00 <REP> d-------- c:\program files\UsbFix
2009-01-18 00:11 . 2009-01-18 00:11 <REP> d-------- c:\program files\CCleaner
2009-01-17 15:36 . 2009-01-19 18:20 2,192 --a------ c:\windows\system32\TDSSlxwp.dll
2009-01-17 15:00 . 2009-01-17 15:00 <REP> d-------- c:\program files\TeaTimer (Spybot - Search & Destroy)
2009-01-17 15:00 . 2009-01-17 15:00 <REP> d-------- c:\program files\SDHelper (Spybot - Search & Destroy)
2009-01-17 15:00 . 2009-01-17 15:00 <REP> d-------- c:\program files\Misc. Support Library (Spybot - Search & Destroy)
2009-01-17 15:00 . 2009-01-17 15:00 <REP> d-------- c:\program files\File Scanner Library (Spybot - Search & Destroy)
2009-01-17 14:38 . 2009-01-17 14:38 579,584 --a--c--- c:\windows\system32\dllcache\user32.dll
2009-01-17 14:24 . 2008-06-21 05:35 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-01-17 14:24 . 2008-06-21 05:35 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-01-17 14:24 . 2008-06-21 09:49 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-01-17 14:24 . 2008-06-21 05:35 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-01-17 14:24 . 2008-06-21 05:35 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-01-17 14:24 . 2008-06-21 05:35 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-01-17 14:24 . 2009-01-18 08:47 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-01-17 14:24 . 2009-01-18 08:42 <REP> d-------- c:\documents and settings\Administrateur
2009-01-17 14:16 . 2009-01-17 14:16 <REP> d-------- c:\windows\ERUNT
2009-01-17 14:13 . 2009-01-17 14:53 <REP> d-------- C:\SDFix
2009-01-17 10:55 . 2009-01-17 10:55 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-17 10:55 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-17 10:55 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-17 09:35 . 2009-01-17 09:35 <REP> d-------- c:\program files\Malwarebytes' Anti-Malwaree
2009-01-17 09:33 . 2009-01-17 09:33 685,056 --a------ c:\windows\is-J0VPR.exe
2009-01-17 09:33 . 2009-01-17 09:33 13,753 --a------ c:\windows\is-J0VPR.msg
2009-01-17 09:33 . 2009-01-17 09:33 470 --a------ c:\windows\is-J0VPR.lst
2009-01-17 09:15 . 2009-01-18 10:11 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-16 19:42 . 2009-01-16 19:42 254,976 --a------ c:\documents and settings\Proprio\msiexec.exe
2009-01-16 18:56 . 2009-01-16 18:58 <REP> d-------- c:\program files\Windows Live Safety Center
2009-01-16 18:52 . 2009-01-16 18:52 <REP> d-------- c:\windows\system32\hi
2009-01-16 18:52 . 2009-01-16 18:52 <REP> d-------- c:\documents and settings\Proprio\Application Data\cogad
2009-01-16 18:52 . 2009-01-16 19:15 41,984 --a------ C:\mywyxngk.exe
2009-01-16 18:52 . 2009-01-16 19:15 705 --a------ C:\yjqcq.exe
2009-01-15 19:25 . 2009-01-17 15:44 739 --a------ c:\windows\wininit.ini
2009-01-15 19:24 . 2009-01-15 19:24 <REP> d-------- c:\documents and settings\All Users\Application Data\Avg8
2009-01-15 18:24 . 2009-01-19 18:23 <REP> d-------- c:\program files\Spybot - Search & Destroy
2009-01-15 18:24 . 2009-01-19 18:23 <REP> d-------- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-01-13 11:57 . 2009-01-13 11:58 <REP> d-------- c:\program files\Svetlograd
2009-01-12 21:56 . 2009-01-12 21:56 0 --a------ c:\windows\nsreg.dat
2009-01-12 21:55 . 2009-01-12 21:56 <REP> d-------- c:\temp\Real
2009-01-12 21:54 . 2009-01-12 21:54 <REP> d-------- c:\documents and settings\Proprio\Application Data\Skip-Bo
2009-01-12 20:38 . 2009-01-12 20:38 <REP> d-------- c:\program files\Lavasoft
2009-01-12 20:19 . 2009-01-12 20:57 <REP> d-------- c:\program files\NoAdware
2009-01-11 19:54 . 2009-01-11 19:54 <REP> d-------- c:\program files\Dr. Daisy Pet Vet
2009-01-08 18:27 . 2009-01-16 18:52 <REP> d-------- c:\windows\system32\m3V02
2009-01-08 18:27 . 2009-01-16 19:15 <REP> d-------- c:\temp\tmp90
2009-01-07 18:37 . 2009-01-07 18:37 268 --ah----- C:\sqmdata08.sqm
2009-01-07 18:37 . 2009-01-07 18:37 244 --ah----- C:\sqmnoopt08.sqm
2009-01-07 18:20 . 2009-01-07 18:20 <REP> d-------- c:\program files\Fichiers communs\Logitech
2009-01-07 06:46 . 2009-01-07 06:46 268 --ah----- C:\sqmdata07.sqm
2009-01-07 06:46 . 2009-01-07 06:46 244 --ah----- C:\sqmnoopt07.sqm
2009-01-07 00:09 . 2009-01-07 00:09 268 --ah----- C:\sqmdata06.sqm
2009-01-07 00:09 . 2009-01-07 00:09 244 --ah----- C:\sqmnoopt06.sqm
2009-01-06 23:35 . 2009-01-06 23:36 <REP> d-------- c:\documents and settings\Proprio\.java
2009-01-06 23:21 . 2009-01-06 23:21 268 --ah----- C:\sqmdata05.sqm
2009-01-06 23:21 . 2009-01-06 23:21 244 --ah----- C:\sqmnoopt05.sqm
2009-01-06 23:13 . 2009-01-06 23:13 268 --ah----- C:\sqmdata04.sqm
2009-01-06 23:13 . 2009-01-06 23:13 244 --ah----- C:\sqmnoopt04.sqm
2009-01-06 13:02 . 2009-01-06 13:02 268 --ah----- C:\sqmdata03.sqm
2009-01-06 13:02 . 2009-01-06 13:02 244 --ah----- C:\sqmnoopt03.sqm
2009-01-06 07:03 . 2009-01-06 07:03 268 --ah----- C:\sqmdata02.sqm
2009-01-06 07:03 . 2009-01-06 07:03 244 --ah----- C:\sqmnoopt02.sqm
2009-01-05 17:48 . 2009-01-05 22:45 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-05 14:32 . 2009-01-05 14:32 400 --a------ c:\documents and settings\Proprio\XpoxNnUE.bat
2009-01-05 14:29 . 2009-01-05 14:29 112,640 --a------ c:\documents and settings\Proprio\HCcyfIR.exe
2009-01-05 14:29 . 2009-01-05 14:29 112,364 --a------ c:\documents and settings\Proprio\owOtwSMsd.exe
2009-01-05 07:28 . 2009-01-08 05:39 <REP> d-------- c:\windows\system32\whSLD02
2009-01-05 07:28 . 2009-01-05 07:28 <REP> d-------- c:\temp\REX81
2009-01-04 06:36 . 2009-01-04 06:37 <REP> d-------- c:\program files\Family Restaurant
2009-01-03 06:44 . 2009-01-05 09:46 <REP> d-------- c:\program files\Star Defender 4
2009-01-02 12:58 . 2009-01-02 12:58 64,000 --a------ C:\vkefbog.exe
2009-01-02 06:42 . 2009-01-02 06:42 <REP> d-------- c:\documents and settings\All Users\Application Data\Genimo
2009-01-02 06:37 . 2009-01-02 06:37 <REP> d-------- c:\documents and settings\Proprio\Application Data\Genimo
2009-01-02 01:15 . 2009-01-02 01:15 73,313 --a------ c:\temp\nWE35I.exe
2009-01-02 01:15 . 2009-01-02 01:15 43,520 --a------ c:\windows\system32\whSLD022328.exe
2009-01-01 16:04 . 2009-01-01 16:04 <REP> d-------- c:\documents and settings\Proprio\Application Data\Home Sweet Home
2008-12-29 12:58 . 2008-12-29 12:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Slapdash Games
2008-12-25 17:34 . 2008-12-25 17:34 <REP> d-------- c:\documents and settings\Proprio\Application Data\SPORE
2008-12-25 17:00 . 2008-12-25 17:00 <REP> d-------- c:\program files\Electronic Arts
2008-12-22 21:45 . 2008-12-22 21:45 268 --ah----- C:\sqmdata01.sqm
2008-12-22 21:45 . 2008-12-22 21:45 244 --ah----- C:\sqmnoopt01.sqm
2008-12-22 21:38 . 2008-12-22 21:38 268 --ah----- C:\sqmdata00.sqm
2008-12-22 21:38 . 2008-12-22 21:38 244 --ah----- C:\sqmnoopt00.sqm
2008-12-22 09:00 . 2008-12-22 09:30 <REP> d-------- c:\program files\Fairy Treasure
2008-12-21 06:52 . 2008-12-21 06:52 <REP> d-------- c:\documents and settings\Proprio\Application Data\EleFun Games
2008-12-20 22:21 . 2008-12-20 22:21 <REP> d-------- c:\documents and settings\All Users\Application Data\Mushroom Age

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-17 21:27 --------- d-----w c:\program files\Google
2009-01-17 00:24 --------- d-----w c:\documents and settings\Proprio\Application Data\LimeWire
2009-01-13 17:58 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2009-01-13 16:56 --------- d-----w c:\documents and settings\All Users\Application Data\BigFishGamesCache
2009-01-13 02:54 --------- d-----w c:\program files\Zylom Games
2009-01-06 03:45 --------- d-----w c:\program files\Java
2009-01-05 18:39 --------- d-----w c:\documents and settings\Proprio\Application Data\Zylom
2008-12-25 22:26 --------- d-----w c:\documents and settings\Proprio\Application Data\DivX
2008-12-25 21:58 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-21 15:34 --------- d-----w c:\documents and settings\Proprio\Application Data\HP
2008-12-20 03:37 --------- d-----w c:\documents and settings\Proprio\Application Data\PlayFirst
2008-12-20 03:37 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst
2008-12-14 17:00 --------- d-----w c:\documents and settings\Proprio\Application Data\Friday's games
2008-12-14 16:54 --------- d-----w c:\program files\BoontyGames
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-08 13:50 --------- d-----w c:\documents and settings\All Users\Application Data\NeptunesAdve
2008-12-08 13:40 --------- d-----w c:\documents and settings\Proprio\Application Data\Valusoft
2008-12-08 13:40 --------- d-----w c:\documents and settings\All Users\Application Data\Valusoft
2008-12-08 03:33 --------- d-----w c:\program files\Hot Dish 2 - Cross Country Cook Off
2008-12-08 02:26 --------- d-----w c:\documents and settings\Proprio\Application Data\Artogon
2008-12-01 17:39 --------- d-----w c:\documents and settings\Proprio\Application Data\PetShowCraze
2008-11-29 21:11 --------- d-----w c:\documents and settings\Proprio\Application Data\Dragon Altar Games
2008-11-29 14:13 --------- d-----w c:\documents and settings\Proprio\Application Data\Jane s Hotel Family Hero
2008-11-24 22:02 --------- d-----w c:\documents and settings\Proprio\Application Data\Gaijin Ent
2008-11-22 00:39 --------- d-----w c:\documents and settings\Proprio\Application Data\Printer Info Cache
2008-11-22 00:39 --------- d-----w c:\documents and settings\Proprio\Application Data\Image Zone Express
2008-08-25 11:00 23 ----a-w c:\documents and settings\Proprio\jagex_runescape_preferences.dat
1999-04-06 12:27 99,840 ----a-w c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 02:53 70,144 ----a-w c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 02:53 48,640 ----a-w c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 02:53 31,744 ----a-w c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 02:53 186,368 ----a-w c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 02:53 17,920 ----a-w c:\program files\Fichiers communs\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-19 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2008-08-14 565008]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-08-14 2407184]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 49152]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-05 136600]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
Symantec Fax Starter Edition Port.lnk - c:\program files\Microsoft Office\Office\1036\OLFSNT40.EXE [1999-04-06 46080]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ c:\windows\system32\zonldnus.exe c:\windows\system32\zonldnus.exe:changelist\0autocheck autochk *

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0ikxx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2psxx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3bexx.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALi5289]
--------- 2005-03-10 13:56 405504 c:\program files\ULI5289\ALi5289.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-05-15 14:55 1057328 c:\program files\Nero\Nero 7\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-12-05 21:55 54832 c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 14:57 153136 c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2006-11-23 14:10 56928 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-05-15 14:55 1628208 c:\program files\Nero\Nero 7\InCD\NBHGui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-07-27 16:01 68096 c:\windows\SOUNDMAN.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 aliidex;aliidex;c:\windows\system32\drivers\aliidex.sys [2008-06-21 7040]
R0 aliperf;aliperf;c:\windows\system32\drivers\aliperf.sys [2008-06-21 7168]
R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [2008-06-21 51840]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [2008-06-21 45056]
R3 ULI5261;ULi Based Ethernet NT Driver;c:\windows\system32\drivers\ULILAN.SYS [2008-06-21 29696]
S0 ati0ikxx;ati0ikxx;c:\windows\system32\Drivers\ati0ikxx.sys --> c:\windows\system32\Drivers\ati0ikxx.sys [?]
S0 ati2psxx;ati2psxx;c:\windows\system32\Drivers\ati2psxx.sys --> c:\windows\system32\Drivers\ati2psxx.sys [?]
S0 ati3bexx;ati3bexx;c:\windows\system32\Drivers\ati3bexx.sys --> c:\windows\system32\Drivers\ati3bexx.sys [?]
S1 20083107;20083107;c:\windows\system32\drivers\20083107.sys --> c:\windows\system32\drivers\20083107.sys [?]
S1 e39f7dde;e39f7dde;c:\windows\system32\drivers\e39f7dde.sys --> c:\windows\system32\drivers\e39f7dde.sys [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8d2fe7a-5062-11dd-b7bb-000b6a7be87f}]
\Shell\AutoRun\command - G:\start.exe
.
.
------- Examen supplémentaire -------
.
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game02.zylom.com/activex/zylomgamesplayer.cab
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-19 18:59:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WgaTray.exe
c:\program files\Nero\Nero 7\InCD\InCDsrv.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
c:\program files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\windows\system32\wscntfy.exe
c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
c:\program files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Heure de fin: 2009-01-19 19:05:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-01-20 00:05:34

Avant-CF: 80,399,671,296 octets libres
Après-CF: 80,334,897,152 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

267 --- E O F --- 2009-01-17 20:33:18

répondre

kmisol le 20 janvier 2009 à 22h10

radjar

Tu as tjrs des soucis avec Mmalwarebytes ?

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 21 janvier 2009 à 00h27

oui ca marche voici le resultat de la 2eme tentative

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1668
Windows 5.1.2600 Service Pack 3

20/01/2009 6:24:01 PM
mbam-log-2009-01-20 (18-24-01).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 204452
Temps écoulé: 1 hour(s), 1 minute(s), 13 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{CE70A384-4E09-48B5-AE0C-76DE45ABEE19}\RP244\A0054442.exe (Trojan.TinyDownloader705) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{CE70A384-4E09-48B5-AE0C-76DE45ABEE19}\RP244\A0054445.exe (Trojan.Agent) -> Quarantined and deleted successfully.

répondre

kmisol le 21 janvier 2009 à 08h39

radjar

Et maintenant, comment réagit Spybot ?

Tjrs présence de Virtumonde ?

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 22 janvier 2009 à 00h54

spybot ne trouve rien mais par contre malware continu dafficher trojan.agent.
ca fait 3 fois que malware le supprime mais le trojan persiste

répondre

kmisol le 22 janvier 2009 à 08h50

radjar

Tu veux parler de cela ...

C:\System Volume Information\_restore{CE70A384-4E09-48B5-AE0C-76DE45ABEE19}\RP244\A0054445.exe (Trojan.Agent) -> Quarantined and deleted successfully.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 22 janvier 2009 à 12h48

oui il lefface mais re-apparait a chaque scan

répondre

kmisol le 23 janvier 2009 à 00h07

radjar

C:\System Volume Information\_restore{CE70A384-4E09-48B5-AE0C-76DE45ABEE19}\RP244\A0054445.exe (Trojan.Agent) -> Quarantined and deleted successfully.

restore, c' est la restauration du système !

Ce message indique que Windows a inclus le virus dans l’ un de ses points
de restauration du système. Or, ton antivirus ne peut pas modifier ces fichiers
pour les désinfecter : Windows le lui interdit !
En effet, les spywares mais aussi les virus sont assez malins pour aller se greffer
dans les points de restauration.
Ainsi, alors que tu penses avoir supprimé un spyware, celui-ci est, en fait, encore
sur ton PC, caché dans un point de restauration.

On verra cela en fin de sujet : après désinfection.

---
Télécharge, installe un antivirus pour commencer ...

http://forum.telecharger.01net.com/microhebdo/questions-techniques-diverses/t(...)

Ensuite, lance un scan.

-->Message édité par kmisol le 23/01/2009 00:10:34<--

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 24 janvier 2009 à 12h48

voila le scan est fait, besoin du rapport?

répondre

radjar le 24 janvier 2009 à 17h07

spybot et malware ne detecte pus rien mais avec avira jai plus de 10 000 fichiers(en quarentaine,ou que je dois mettre en quarantaine) qui contienne le cheval de Troie TR/Crypt.CFI.Gen

répondre

kmisol le 24 janvier 2009 à 21h44

radjar

Télécharge MSNFix.zip (de !aur3n7) sur ton bureau :
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le (clic droit >> Extraire ici) et double clique sur
le fichier MSNFix.bat.
Exécute l'option R.

Si l'infection est détectée, un message l'indiquera et il
suffira de presser une touche pour lancer le nettoyage.

Note :
Si une erreur de suppression est détectée un message s'affichera
demandant de redémarrer l'ordinateur afin de terminer les opérations.
Dans ce cas il suffit de redémarrer l'ordinateur en mode normal.

-------
"Le soleil se lève avant moi ; moi, je me couche après lui : nous sommes quittes !"

Jules Renard / La Terre : faîtes gaffe, on n' en a qu' une ! http://www.defipourlaterre.org/ - http://www.malampe.org/

répondre

radjar le 24 janvier 2009 à 23h43

voila c fait,i a detecter,jai presser une touche pour lancer le nettoyage.

jai redemarer, msnfix a partit tout seul,je lai executer et jai (autoriser 2 modification par spybot) et me voila pret pour la suite

-->Message édité par radjar le 25/01/2009 00:04:26<--

répondre

internert explorer, ouvre souvent pub ex go.google.com

PRODUITS

TÉLÉCHARGER - LOGICIELS

JEUX VIDÉOS

LOISIRS

01NET PRO

AVIS ET COMMENTAIRES

A PROPOS DE 01NET

		Application iPhone 01netpro L’actualité Pro 24h/24, sur votre iPhone avec SAP.