|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour,
Je suis infecté par des fenêtres suivantes.
J'ai également d'autres problèmes. Je me retrouve avec des caffards qui se trouvent sur l'écran.
SVP aidez moi...
|
|
Imagine ...
|
|
|
 pititpierrot
Fais un scan HijackThis et poste le rapport.
|
|
|
|
|
Bonjour,
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:15:41, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\TEMP\7602.tmp
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a47a0459] rundll32.exe "C:\WINDOWS\system32\ssrtrjbt.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O17 - HKLM\System\CCS\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O21 - SSODL: Eecvn - {A47A04F7-0ED0-AE5D-37DC-009E9BD3054D} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
--
End of file - 6094 bytes
|
|
Imagine ...
|
|
|
pititpierrot
Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1).
Dézippe le dossier ; double-clique sur GenProc.bat ![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]") … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).
-> Aide en images
|
|
|
|
|
Re; Voici le rapport
Rapport GenProc 1.951 [1] effectué le 14/05/2008 à 10:32:20,02 - Windows XP
# Etape 1/ Télécharge :
- CCleaner http://www.ccleaner.com/download/builds/downloading-slim
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- SmitfrauFix de S!Ri: Moe et Balltrap34 http://siri.urz.free.fr/Fix/SmitfraudFix.exe
* double-clique sur le fichier "smitfraudfix.exe" et choisis l’option 1, il va lister tous les éléments nuisibles dans un rapport : poste le maintenant.
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "M2Partners") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 3/
Double-clique sur le fichier "SmitfraudFix.exe" et choisis l'option 2, réponds oui à tout et laisse-le procéder. Sauvegarde le rapport sur ton bureau.
# Etape 4/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 5/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 6/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le rapport SmitfraudFix que tu as sauvegardé sur ton bureau ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
Imagine ...
|
|
|
...
Mets cette procédure en application (dans l' ordre, si possible).
Une fois achevée, poste les rapports.
Bon courage  .
|
|
|
|
|
Re !
Voici le premier rapport :
- Rapport SmitfrauFix
SmitFraudFix v2.320
Rapport fait à 11:51:23,92, 15/05/2008
Executé à partir de C:\Documents and Settings\M2Partners\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\TEMP\9789.tmp
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\M2Partners
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\M2Partners\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\M2PART~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
C:\Program Files\Helper\ PRESENT !
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
|
|
|
|
|
Et voici tous les rapports :
HijackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:33, on 15/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a47a0459] rundll32.exe "C:\WINDOWS\system32\vcxcbmpd.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O17 - HKLM\System\CCS\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O21 - SSODL: Eecvn - {A47A04F7-0ED0-AE5D-37DC-009E9BD3054D} - (no file)
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
--
End of file - 5370 bytes
Vundofix
VundoFix V7.0.3
Scan started at 11:58:09 15/05/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Combofix
ComboFix 08-05-12.1 - M2Partners 2008-05-15 12:36:23.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.592 [GMT 2:00]
Endroit: C:\Documents and Settings\M2Partners\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\Helper
C:\sys.txt
C:\WINDOWS\system32\BLVGffii.ini
C:\WINDOWS\system32\BLVGffii.ini2
C:\WINDOWS\system32\crypts.dll
C:\WINDOWS\system32\drivers\tcpsr.sys
C:\WINDOWS\system32\hgGawXpq.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\oikbutbo.ini
C:\WINDOWS\system32\tbjrtrss.ini
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\wzghui.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TCPSR
-------\Service_tcpsr
-------\Service_wzghui
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-15 to 2008-05-15 ))))))))))))))))))))))))))))))))))))
.
2008-05-15 11:58 . 2008-05-15 11:58 <REP> d-------- C:\VundoFix Backups
2008-05-15 11:51 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-15 11:51 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-15 11:51 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-15 11:51 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-15 11:51 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-15 11:51 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-15 11:51 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-15 11:51 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-15 11:51 . 2008-05-15 11:51 506 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-15 11:34 . 2008-05-15 11:34 <REP> d-------- C:\Program Files\CCleaner
2008-05-14 15:51 . 2008-05-14 15:51 <REP> d-------- C:\WINDOWS\system32\fr
2008-05-14 15:51 . 2008-05-14 15:51 <REP> d-------- C:\WINDOWS\l2schemas
2008-05-14 15:02 . 2008-04-14 04:33 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-14 15:02 . 2008-04-14 04:33 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-14 15:02 . 2008-04-14 04:33 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-14 15:00 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-14 14:59 . 2008-04-14 04:33 233,472 --------- C:\WINDOWS\system32\azroles.dll
2008-05-14 14:59 . 2008-04-14 04:33 136,192 --------- C:\WINDOWS\system32\aaclient.dll
2008-05-14 14:59 . 2008-04-14 04:33 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-05-14 10:14 . 2008-05-14 10:14 <REP> d-------- C:\Program Files\Trend Micro
2008-05-13 15:50 . 2008-05-13 15:55 <REP> d-------- C:\Program Files\Windows Live Safety Center
2008-05-13 15:44 . 2008-05-13 18:05 <REP> d-------- C:\Program Files\Navilog1
2008-05-13 15:32 . 2008-05-13 17:18 <REP> d-------- C:\Program Files\CenterLock
2008-05-13 15:19 . 2008-05-13 15:19 91,264 --a------ C:\WINDOWS\system32\ssrtrjbt.dll
2008-05-13 10:08 . 2003-01-27 14:00 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-05-13 10:08 . 2003-01-27 14:00 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-05-13 10:08 . 2003-01-27 15:35 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-05-13 10:08 . 2003-01-27 14:00 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-05-13 10:08 . 2003-01-27 14:00 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-05-13 10:08 . 2003-01-27 14:00 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-05-13 10:08 . 2003-01-27 14:00 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-05-13 10:08 . 2008-05-13 10:08 <REP> d-------- C:\Documents and Settings\Administrateur
2008-05-13 10:08 . 2008-05-15 12:36 1,024 --ah----- C:\Documents and Settings\Administrateur\NTUSER.DAT.LOG
2008-05-12 15:06 . 2008-05-12 15:06 320,640 --a------ C:\WINDOWS\system32\iiffGVLB.dll
2008-05-12 15:02 . 2008-05-13 15:18 27,136 --a------ C:\WINDOWS\system32\drivers\Gmr51.sys
2008-05-12 15:02 . 2008-05-12 15:02 2 --a------ C:\-1535507210
2008-05-12 15:01 . 2008-05-13 15:18 269,334 --a------ C:\WINDOWS\system32\ctfmonb.bmp
2008-05-12 15:01 . 2008-05-13 15:19 160,256 --a------ C:\WINDOWS\system32\blackster.scr
2008-05-12 15:01 . 2008-05-12 15:01 61,952 --a------ C:\ftklhae.exe
2008-05-12 15:01 . 2008-05-12 15:01 29,312 --a------ C:\WINDOWS\system32\ssqNFUND.dll
2008-05-12 15:01 . 2008-05-12 15:01 29,312 --a------ C:\WINDOWS\system32\awtsTJcC.dll
2008-05-12 15:01 . 2008-05-12 15:01 1 --a------ C:\WINDOWS\system32\kr_done1de
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-13 13:59 --------- d-----w C:\Program Files\Google
2008-05-13 13:59 --------- d-----w C:\Program Files\BoontyGames
2008-05-13 13:58 --------- d-----w C:\Program Files\Yahoo!
2008-04-29 13:45 --------- d-----w C:\Documents and Settings\M2Partners\Application Data\MSN6
2008-04-14 02:34 70,656 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 02:34 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 02:34 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 02:34 288,256 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 02:34 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 02:34 153,088 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 02:34 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 02:34 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 02:34 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 02:34 1,037,824 ----a-w C:\WINDOWS\explorer.exe
2008-04-14 02:10 73,600 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:09 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:09 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:09 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:09 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 02:05 800,256 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 02:05 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 02:05 154,496 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 02:04 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 02:03 5,504 ----a-w C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 02:03 40,576 ------w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 02:02 40,960 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 02:00 66,048 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 02:00 54,144 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:59 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:58 273,664 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:57 58,752 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 01:57 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:56 53,376 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:55 40,064 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:54 41,856 ------w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:54 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:53 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:53 23,680 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:52 188,672 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ------w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 18:55 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 18:54 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 18:53 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 18:53 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 18:53 36,608 ------w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 18:53 264,832 ------w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 18:51 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 18:51 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
2008-04-13 18:51 59,904 ----a-w C:\WINDOWS\system32\drivers\atmarpc.sys
2008-04-13 18:51 55,808 ----a-w C:\WINDOWS\system32\drivers\atmlane.sys
2008-04-13 18:51 101,120 ------w C:\WINDOWS\system32\drivers\bthpan.sys
2008-04-13 18:47 25,856 ----a-w C:\WINDOWS\system32\drivers\usbprint.sys
2008-04-13 18:46 59,136 ------w C:\WINDOWS\system32\drivers\rfcomm.sys
2008-04-13 18:46 37,888 ------w C:\WINDOWS\system32\drivers\bthmodem.sys
2008-04-13 18:46 36,480 ------w C:\WINDOWS\system32\drivers\bthprint.sys
2008-04-13 18:46 25,344 ----a-w C:\WINDOWS\system32\drivers\sonydcam.sys
2008-04-13 18:46 18,944 ------w C:\WINDOWS\system32\drivers\bthusb.sys
2008-04-13 18:46 17,024 ------w C:\WINDOWS\system32\drivers\bthenum.sys
2008-04-13 18:46 121,984 ------w C:\WINDOWS\system32\drivers\usbvideo.sys
2008-04-13 18:44 81,664 ----a-w C:\WINDOWS\system32\drivers\videoprt.sys
2008-04-13 18:44 20,992 ----a-w C:\WINDOWS\system32\drivers\vga.sys
2008-04-13 18:43 14,208 ------w C:\WINDOWS\system32\drivers\wacompen.sys
2006-09-08 11:21 32 --sha-w C:\WINDOWS\{D6B2F5C9-EED9-4EF8-A6EE-A1B0B885D1EA}.dat
2006-09-08 11:21 32 --sha-w C:\WINDOWS\system32\{F1638289-9957-4E62-B47D-A7E92092D233}.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CEA9904-AFA8-4A9F-A946-E1C089219CEA}]
2008-05-12 15:06 320640 --a------ C:\WINDOWS\system32\iiffGVLB.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97f7302a-147c-4435-901c-184375993be6}]
2008-05-12 15:01 29312 --a------ C:\WINDOWS\system32\ssqNFUND.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:33 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-06-29 06:24 286720]
"a47a0459"="C:\WINDOWS\system32\ssrtrjbt.dll" [2008-05-13 15:19 91264]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:33 15360]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{97F7302A-147C-4435-901C-184375993BE6}"= C:\WINDOWS\system32\ssqNFUND.dll [2008-05-12 15:01 29312]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqNFUND]
ssqNFUND.dll 2008-05-12 15:01 29312 C:\WINDOWS\system32\ssqNFUND.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Gmr51.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\xrsslm12.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5910:TCP"= 5910:TCP:VNC
R0 Gmr51;Gmr51;C:\WINDOWS\system32\Drivers\Gmr51.sys [2008-05-13 15:18]
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-12 18:36]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-12 18:38]
S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" [2007-09-10 17:30]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{79150070-de16-11dc-bd53-0040f438c560}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7ddf4922-e5dd-11dc-bd60-0040f438c560}]
\Shell\AutoRun\command - ntde1ect.com
\Shell\explore\Command - ntde1ect.com
\Shell\open\Command - ntde1ect.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{97f36200-1997-11db-897e-0040f438c560}]
\Shell\AutoRun\command - RavMon.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3813591-fed8-11db-8a8c-0040f438c560}]
\Shell\1\Command - music.exe
\Shell\2\Command - music.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Music.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-15 12:46:01
Windows 5.1.2600 Service Pack 3 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ssqNFUND.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\ssrtrjbt.dll
-> C:\WINDOWS\system32\pmnmjHaa.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-15 12:50:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-15 10:50:49
Pre-Run: 17,051,037,696 octets libres
Post-Run: 16,505,675,776 octets libres
264 --- E O F --- 2008-05-14 09:29:43
Smitfraudfix
SmitFraudFix v2.320
Rapport fait à 12:59:55,51, 15/05/2008
Executé à partir de C:\Documents and Settings\M2Partners\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer=192.168.2.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
MSNfix
MSNFix 1.716
C:\Documents and Settings\M2Partners\Bureau\MSNFix\MSNFix
Fix exécuté le 15/05/2008 - 13:02:39,77 By M2Partners
mode sans échec
************************ Recherche les fichiers présents
... C:\WINDOWS\system32\tmp.txt
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\system32\tmp.txt
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[C:\ftklhae.exe] C4449422A2D26AF3F9F9FB1DB80818FB
==> SVP merci d'envoyer le fichier C:\DOCUME~1\M2PART~1\Bureau\Upload_Me.zip sur http://upload.changelog.fr
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 15052008_13092998.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Voilà, je n'ai pas rencontré de problèmes particuliers. Par contre, j'ai toujours des fenêtres "antvirus fiable" et je n'ai plus d'imprimante (impossible de la réinstaller (problème spooler).
MERCI en tout cas 
|
|
Imagine ...
|
|
|
pititpierrot
Fais tout ce qui suit, dans l' ordre ...
Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...
Menu Démarrer > Exécuter... tape services.msc puis clique sur OK.
Cherche le service Boonty Games
Faire un clic droit dessus et choisir Propriétés.
Vérifier que dans la case "Chemin d'accès des fichiers exécutables" il y a bien
C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
Dans "Statut du service", clique sur Arrêter (s'il n'est pas déjà arrêté)
Clique sur Appliquer.
Dans "Type de démarrage", choisis Désactivé ;
Clique sur Appliquer, puis sur OK.
Supprime ce service :
Démarrer > Exécuter..., tape (copie-colle) sc delete BOONTY
puis clique sur OK.
Note le message qui s'affiche (en cas d'échec).
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O4 - HKLM\..\Run: [a47a0459] rundll32.exe "C:\WINDOWS\system32\vcxcbmpd.dll",b
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Program Files\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (file missing) (HKCU)
O21 - SSODL: Eecvn - {A47A04F7-0ED0-AE5D-37DC-009E9BD3054D} - (no file)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.
C:\WINDOWS\system32\vcxcbmpd.dll
Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse :
Il est situé sur --> C:\_OTMoveIt\MovedFiles.
Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
------
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.
PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
Poste aussi un nouveau rapport HijackThis.
|
|
|
|
|
hello!
Alors petit problème : je n'ai pas la ligne "O4 - HKLM\..\Run: [a47a0459] rundll32.exe "C:\WINDOWS\system32\vcxcbmpd.dll",b"
J'ai fait toutes les manipulations :
Rapport OTMoveIt.exe
File/Folder C:\WINDOWS\system32\vcxcbmpd.dll not found.
OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 05192008_145758
Rapport Malwrebytes Anti Malware
Malwarebytes' Anti-Malware 1.12
Version de la base de données: 765
Type de recherche: Examen complet (C:\|)
Eléments examinés: 86255
Temps écoulé: 22 minute(s), 51 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 17
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 30
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\pmnmjHaa.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\ssqNFUND.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Unloaded module successfully.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a7213dee-a932-46b8-aa89-b6c75e3279df} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{a7213dee-a932-46b8-aa89-b6c75e3279df} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqnfund (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winnt32 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\software\saap (Adware.180Solutions) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{97f7302a-147c-4435-901c-184375993be6} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnmjhaa -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnmjhaa -> Delete on reboot.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\pmnmjHaa.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\aaHjmnmp.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\aaHjmnmp.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\unrfnofu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ufonfrnu.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssqNFUND.dll (Trojan.Vundo) -> Delete on reboot.
C:\ftklhae.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hgGawXpq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\tcpsr.sys.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP832\A0068911.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP832\A0068915.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP834\A0069011.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP834\A0069040.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP834\A0069058.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP835\A0074113.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP835\A0074115.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP836\A0074222.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP836\A0074647.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP836\A0075532.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP836\A0075674.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP837\A0075697.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP838\A0075806.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP838\A0075814.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2B4FFA32-9F54-41A0-BA35-2895D0039A22}\RP839\A0075846.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtsTJcC.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blackster.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ctfmonb.bmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinData.cab (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinNt32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tcpsr.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
Rapport HjackThis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:18:59, on 19/05/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\fr\msntb.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase9563.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuw(...)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housec(...)
O17 - HKLM\System\CCS\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{21C00DC5-28F8-4F20-84D0-5EF61BC2682B}: NameServer = 192.168.2.1
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
--
End of file - 4775 bytes
Merci en tout cas pour le temps consacré.
|
|
Imagine ...
|
|
|
pititpierrot
Quelle est l' évolution par rapport à ton premier message ?
|
|
|
|
|
Hello.
Evolution pas top.
Avast détecte : c:\windows\system32\pmnmjhaa.dll (Win32:Vundo@dll [Trj])
c:\windows\system32\qwidxeml.dll (Win32:Vundo@dll [Trj])
c:\windows\system32\winnt32.dll (Win32:Mutant-AF [Trj])
|
|
|
|
|
Autre problème, les mises à jour automatiques de windows s'enlevent à chaque rédémarrage.
Donc malheureusement on dirait qu'il revient tout le temps.
:s
|
|
Modérateur/Helper
|
|
|
Bonsoir tous les deux,
pititpierrot,
Si Kmisol le veut bien, je vais prendre la relève 
J'aurais besoin d'un nouveau rapport avec combofix, donc tu vas relancer combofix en mode sans échec et me poster le nouveau rapport généré.
N.B : J'ai repéré l'origine de tes problèmes
|
|
|
|
|
Bonjour Mérillym et merci.
Voiic le nouveau rapport combofix
ComboFix 08-05-12.1 - M2Partners 2008-05-21 15:32:54.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.584 [GMT 2:00]
Endroit: C:\Documents and Settings\M2Partners\Bureau\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\aaHjmnmp.ini
C:\WINDOWS\system32\aaHjmnmp.ini2
C:\WINDOWS\system32\bagnvydd.ini
C:\WINDOWS\system32\dpmbcxcv.ini
C:\WINDOWS\system32\jgedwgww.ini
C:\WINDOWS\system32\lmexdiwq.ini
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TCPSR
-------\Service_tcpsr
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-21 to 2008-05-21 ))))))))))))))))))))))))))))))))))))
.
2008-05-21 14:42 . 2008-05-21 14:42 318,848 --a------ C:\WINDOWS\system32\geBqOgDU.dll
2008-05-21 13:42 . 2008-05-21 13:42 318,848 --a------ C:\WINDOWS\system32\efcCrRKC.dll
2008-05-21 12:42 . 2008-05-21 12:42 318,848 --a------ C:\WINDOWS\system32\mlJYqNET.dll
2008-05-21 11:42 . 2008-05-21 11:42 318,848 --a------ C:\WINDOWS\system32\fcccyWqq.dll
2008-05-21 10:42 . 2008-05-21 10:42 318,848 --a------ C:\WINDOWS\system32\opnkkjJa.dll
2008-05-21 09:42 . 2008-05-21 09:42 319,360 --a------ C:\WINDOWS\system32\iifcCrpq.dll
2008-05-21 08:42 . 2008-05-21 08:42 319,360 --a------ C:\WINDOWS\system32\rqRKEWMg.dll
2008-05-20 17:58 . 2008-05-20 17:58 319,360 --a------ C:\WINDOWS\system32\efcYRJDW.dll
2008-05-20 16:58 . 2008-05-20 16:58 319,360 --a------ C:\WINDOWS\system32\efcYSkkJ.dll
2008-05-20 15:58 . 2008-05-20 15:58 319,360 --a------ C:\WINDOWS\system32\jkkJcBqP.dll
2008-05-19 15:03 . 2008-05-19 15:03 <REP> d-------- C:\Documents and Settings\M2Partners\Application Data\Malwarebytes
2008-05-19 15:02 . 2008-05-19 15:03 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-05-19 15:02 . 2008-05-19 15:02 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-05-19 15:02 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-19 15:02 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-19 14:57 . 2008-05-19 14:57 <REP> d-------- C:\_OTMoveIt
2008-05-15 15:26 . 2008-04-14 04:34 57,856 --a------ C:\WINDOWS\system32\spoolsv.exe
2008-05-15 15:26 . 2008-04-14 04:34 57,856 --a--c--- C:\WINDOWS\system32\dllcache\spoolsv.exe
2008-05-15 14:57 . 2001-08-17 21:28 771,581 --a--c--- C:\WINDOWS\system32\dllcache\winacisa.sys
2008-05-15 14:56 . 2001-08-17 21:28 794,654 --a--c--- C:\WINDOWS\system32\dllcache\usr1801.sys
2008-05-15 14:55 . 2001-08-23 16:57 286,848 --a--c--- C:\WINDOWS\system32\dllcache\stlnata.sys
2008-05-15 14:54 . 2001-08-23 17:46 386,560 --a--c--- C:\WINDOWS\system32\dllcache\sgiul50.dll
2008-05-15 14:53 . 2001-08-23 17:18 899,914 --a--c--- C:\WINDOWS\system32\dllcache\r2mdkxga.sys
2008-05-15 14:52 . 2008-04-14 04:33 363,520 --a--c--- C:\WINDOWS\system32\dllcache\psisdecd.dll
2008-05-15 14:51 . 2008-04-14 04:07 2,025,984 --a--c--- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-05-15 14:50 . 2001-08-17 20:50 103,296 --a--c--- C:\WINDOWS\system32\dllcache\mtxvideo.sys
2008-05-15 14:49 . 2001-08-17 21:28 802,683 --a--c--- C:\WINDOWS\system32\dllcache\ltsm.sys
2008-05-15 14:48 . 2008-04-14 04:34 153,088 --a--c--- C:\WINDOWS\system32\dllcache\irftp.exe
2008-05-15 14:47 . 2008-04-14 04:33 702,845 --a--c--- C:\WINDOWS\system32\dllcache\i81xdnt5.dll
2008-05-15 14:46 . 2001-08-17 21:28 542,879 --a--c--- C:\WINDOWS\system32\dllcache\hsf_msft.sys
2008-05-15 14:45 . 2001-08-23 17:46 1,733,120 --a--c--- C:\WINDOWS\system32\dllcache\g400d.dll
2008-05-15 14:44 . 2001-08-23 17:13 634,166 --a--c--- C:\WINDOWS\system32\dllcache\el656ct5.sys
2008-05-15 14:43 . 2001-08-17 20:14 952,007 --a--c--- C:\WINDOWS\system32\dllcache\diwan.sys
2008-05-15 14:42 . 2001-08-23 17:04 272,640 --a--c--- C:\WINDOWS\system32\dllcache\cinemclc.sys
2008-05-15 14:41 . 2001-08-23 17:04 980,034 --a--c--- C:\WINDOWS\system32\dllcache\cicap.sys
2008-05-15 14:40 . 2001-08-28 14:00 195,618 --a--c--- C:\WINDOWS\system32\dllcache\c_10002.nls
2008-05-15 14:39 . 2001-08-17 21:28 871,388 --a--c--- C:\WINDOWS\system32\dllcache\bcmdm.sys
2008-05-15 14:38 . 2001-08-17 22:07 56,960 --a--c--- C:\WINDOWS\system32\dllcache\aic78xx.sys
2008-05-15 14:38 . 2001-08-17 22:07 55,168 --a--c--- C:\WINDOWS\system32\dllcache\aic78u2.sys
2008-05-15 14:38 . 2002-08-29 07:59 36,224 --a--c--- C:\WINDOWS\system32\dllcache\an983.sys
2008-05-15 14:38 . 2001-08-17 20:11 27,678 --a--c--- C:\WINDOWS\system32\dllcache\ali5261.sys
2008-05-15 14:38 . 2001-08-17 21:49 26,624 --a--c--- C:\WINDOWS\system32\dllcache\alifir.sys
2008-05-15 14:38 . 2001-08-23 17:47 24,576 --a--c--- C:\WINDOWS\system32\dllcache\agcgauge.ax
2008-05-15 14:38 . 2001-08-17 20:11 16,969 --a--c--- C:\WINDOWS\system32\dllcache\amb8002.sys
2008-05-15 14:38 . 2001-08-17 21:52 12,800 --a--c--- C:\WINDOWS\system32\dllcache\aha154x.sys
2008-05-15 14:38 . 2001-08-17 21:52 12,032 --a--c--- C:\WINDOWS\system32\dllcache\amsint.sys
2008-05-15 14:38 . 2001-08-17 21:47 6,272 --a--c--- C:\WINDOWS\system32\dllcache\apmbatt.sys
2008-05-15 14:38 . 2001-08-17 21:51 5,248 --a--c--- C:\WINDOWS\system32\dllcache\aliide.sys
2008-05-15 14:35 . 2008-04-14 04:07 2,147,328 --a--c--- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-05-15 14:35 . 2001-08-23 17:46 66,048 --a--c--- C:\WINDOWS\system32\dllcache\s3legacy.dll
2008-05-15 13:03 . 2008-05-15 13:03 4 --a------ C:\WINDOWS\system32\c.pid
2008-05-15 12:51 . 2008-05-15 12:51 294 ---hs---- C:\WINDOWS\system32\tbjrtrss.ini
2008-05-15 11:58 . 2008-05-15 11:58 <REP> d-------- C:\VundoFix Backups
2008-05-15 11:51 . 2008-05-15 13:00 506 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-15 11:51 . 2008-05-15 13:00 0 --a------ C:\WINDOWS\system32\tmp.MSNFix
2008-05-15 11:34 . 2008-05-15 11:34 <REP> d-------- C:\Program Files\CCleaner
2008-05-14 15:51 . 2008-05-14 15:51 <REP> d-------- C:\WINDOWS\system32\fr
2008-05-14 15:51 . 2008-05-14 15:51 <REP> d-------- C:\WINDOWS\l2schemas
2008-05-14 15:02 . 2008-04-14 04:33 173,568 --a--c--- C:\WINDOWS\system32\dllcache\sysmoda.dll
2008-05-14 15:02 . 2008-04-14 04:33 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-05-14 15:02 . 2008-04-14 04:33 69,120 --a--c--- C:\WINDOWS\system32\dllcache\wlanapi.dll
2008-05-14 15:02 . 2008-04-14 04:33 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-05-14 15:02 . 2008-04-14 04:33 53,248 --a--c--- C:\WINDOWS\system32\dllcache\tsgqec.dll
2008-05-14 15:02 . 2008-04-14 04:33 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-05-14 15:02 . 2008-04-14 04:33 50,688 --a--c--- C:\WINDOWS\system32\dllcache\tspkg.dll
2008-05-14 15:00 . 2008-04-14 04:33 651,264 --------- C:\WINDOWS\system32\dot3ui.dll
2008-05-14 14:59 . 2008-04-14 04:33 233,472 --a--c--- C:\WINDOWS\system32\dllcache\azroles.dll
2008-05-14 10:14 . 2008-05-14 10:14 <REP> d-------- C:\Program Files\Trend Micro
2008-05-13 15:50 . 2008-05-13 15:55 <REP> d-------- C:\Program Files\Windows Live Safe | | |
