|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour
Jusqu'ici mon PC ne semblait avoir aucun souci avec ma protection résidente AVAST. Seulement, depuis 3/4 jours des trojan et spyware sont détectés en permanence, y compris "hors connexion". Et régulièrement un message apparait via windows m'avertissant ! Et aussi régulièrement une fenêtre internet explorer s'ouvre bien que n'ayant rien demandé et étant "hors connexion". Une signalisation en bas à droite proche de l'heure m'indique "click to fix the problem" et accède dans les 2 cas à (Edit Modération : pas de liens susceptibles d'être dangereux dans les messages, merci ! )
Voici pour le souci. Je suis sous internet explorer 7 et utilise Windows xp.
Après ce souci, j'ai lancé en ligne trend micro (14 virus trouvés et supprimés + 1 trojan trouvé qu'il n'a pas réussi à supprimer), Bet defender (3 fichiers infectés + 3 virus tous les 6 supprimés), ESET (en cours mais déjà 2 virus trouvés). De mon côté j'ai AD AWARE (qq virus trouvés et supprimés mais un virus laissé de côté sans autre explication ni détail). Sinon F-Secure et Panda, la mise à jour des virus ne se fait pas et donc le scan ne peut démarrer.
Comment puis-je erradiquer ce trojan qui revient sans cesse même après avoir été mis en quarantaine ??? 
Depuis ce problème, je souligne que mon gestionnaire de tache est HS et il m'ait indiqué que celui-ci a été désactivé par mon administrateur !
Merci pour votre aide !!!
-->Message édité par ericn2 le 14/05/2008 08:42:23<--
|
|
team sécurité
|
|
|
bonjour
on va regarder mais avant supprime ton lien qui redirige vers des sites qui peu être dangereux que personne ne clique dessus merci!
et ensuite fait ca
Télécharge HijackThis v2.0.2 de trend secure
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.
|
|
|
|
|
Bonjour
Désolé pour le lien, je ne le referais plus ! Actuellement je peux dire ceci :
J'ai suivi les conseils de MALEKAL en changeant AVAST pour ANTIVIR. Je suis pour l'instant satisfait car il voit beaucoup plus de pb que j'ai mis en quarataine avec succès... cependant il détecte en permanence le trojan VUNDO pour lequel l'action qu'il me demande de faire ne fonctionne pas (delete, quarantine, ignore..) et ca recommence tout le temps. Impossibe de s'en débarrasser puis obliger de faire reset pour pouvoir éteindre le PC !!! De plus mon gestionnaire de tache est toujours HS suite à ce virus...
Voici le résultat de hijackthis ! et surtout merci d'avance pour l'aide apportée et à venir pour mon pb actuel !!!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:15, on 05/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Program Files\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowslive.fr/hotmail/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {16375F38-07BA-447E-AEBC-6AAEE5311B47} - C:\WINDOWS\system32\geBtSIxv.dll
O2 - BHO: (no name) - {759AAA60-8C93-40E1-858B-2A2215CA997A} - C:\WINDOWS\system32\ssqPjhec.dll (file missing)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ljJDTKCr.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eniwhdml] C:\WINDOWS\system32\zcvuxypu.exe
O4 - HKLM\..\Policies\Explorer\Run: [dWqpVdEA7Z] C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O20 - Winlogon Notify: ljJDTKCr - C:\WINDOWS\SYSTEM32\ljJDTKCr.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5086 bytes
|
|
team sécurité
|
|
|
Télécharge VundoFix.exe (par Atribune) sur ton Bureau.[list]
Double-clique VundoFix.exe afin de le lancer
Clique sur le bouton Scan for Vundo
Lorsque le scan est complété, clique sur le bouton Remove Vundo
Une invite te demandera si tu veux supprimer les fichiers, clique YES
Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
[/list]
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-dessus, à partir de "clique sur le bouton Scan for Vundo".
|
|
|
|
|
Bonsoir,
J'ai suivi les instructions. Scan réalisé : RAS, rapport vierge. Fix for Vundo réalié : à commencer puis s'est figé. PC relancé. Toujours autnt de fenêtre intempestives indiquant une ifection via Vundo indiqué par ANTIVIR !
Rapport hijackthis dans l'éventualité où il yaurait eu une quelconque interaction ce dont je doute...
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:10, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\update.exe
C:\Program Files\HiJackThis.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowslive.fr/hotmail/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6508565A-16FF-4587-B740-D1D3B2D26A96} - C:\WINDOWS\system32\geBtSIxv.dll
O2 - BHO: (no name) - {759AAA60-8C93-40E1-858B-2A2215CA997A} - C:\WINDOWS\system32\ssqPjhec.dll (file missing)
O2 - BHO: (no name) - {CE86878F-D099-4FFC-A4DC-E51D192063B1} - C:\WINDOWS\system32\ljJDTKCr.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eniwhdml] C:\WINDOWS\system32\zcvuxypu.exe
O4 - HKLM\..\Policies\Explorer\Run: [dWqpVdEA7Z] C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O20 - Winlogon Notify: ljJDTKCr - C:\WINDOWS\SYSTEM32\ljJDTKCr.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5153 bytes
|
|
|
|
|
A noter en plus que pleins de fenêtre internet s'ouvre sur des sites de jeux enligne sans que je n'ai demandé quoi que ce soit. Gestionnaire de tac toujours HS !
Dans l'attente... merci d'avance !
|
|
team sécurité
|
|
|
Désactive toute protection résidente ! (Antivirus, antispywares..)
Télécharge ComboFix (créé par sUBs) sur ton Bureau
Démarre en mode sans echec
Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
tuto ici
|
|
|
|
|
Pour combofix voilà !
ComboFix 08-05-01.3 - Administrateur 2008-05-06 20:16:39.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.415 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\install\install.exe
C:\Program Files\akl
C:\Program Files\akl\akl.dll
C:\Program Files\akl\akl.exe
C:\Program Files\akl\uninstall.exe
C:\Program Files\akl\unsetup.exe
C:\Program Files\PC-Cleaner
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\cookies.ini
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\cehjPqss.ini
C:\WINDOWS\system32\cehjPqss.ini2
C:\WINDOWS\system32\geBtSIxv.dll
C:\WINDOWS\system32\ljJDTKCr.dll
C:\WINDOWS\system32\mrxuqkaj.ini
C:\WINDOWS\system32\shjhpecx.ini
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\vxIStBeg.ini
C:\WINDOWS\system32\vxIStBeg.ini2
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\xbaqktfv.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.
2008-05-06 19:17 . 2008-05-06 19:17 <REP> d-------- C:\VundoFix Backups
2008-05-05 22:37 . 2008-05-05 22:37 <REP> d-------- C:\Documents and Settings\LocalService.AUTORITE NT.000\Mes documents
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Program Files\Avira
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-05-05 19:51 . 2008-05-05 19:52 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-04 23:01 . 2008-05-06 20:16 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-04 18:34 . 2008-05-04 18:47 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-04 18:21 . 2008-05-04 23:00 <REP> d-------- C:\Program Files\Panda Security
2008-05-03 20:44 . 2008-05-03 22:56 <REP> d-------- C:\Documents and Settings\Administrateur.TITANIUM.000\.housecall6.6
2008-05-03 00:31 . 2008-05-04 20:32 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw
2008-05-03 00:31 . 2008-05-03 00:31 4,096 --a------ C:\WINDOWS\system32\WINWGPX.EXE
2008-04-14 18:18 . 2008-04-14 18:18 210,098 --a------ C:\Program Files\icscreensaver.exe
2008-04-13 18:40 . 2008-04-28 19:28 2,715 --a------ C:\Saved.game
2008-04-13 18:39 . 2008-04-13 18:40 <REP> d-------- C:\DBParams
2008-04-13 18:26 . 2001-11-08 21:45 1,567,052 --a------ C:\lakes.cbw
2008-04-13 18:26 . 1996-09-10 14:22 1,244,016 --a------ C:\WorldEx.cbw
2008-04-13 18:24 . 2008-04-13 18:25 <REP> d-------- C:\Bitmaps
2008-04-13 18:24 . 2001-11-11 19:42 2,753,751 --a------ C:\eng.chm
2008-04-13 18:24 . 1995-06-10 13:25 131,172 --a------ C:\Eco.cod
2008-04-13 18:24 . 1999-09-19 15:40 3,101 --a------ C:\fritzlogo.gif
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 17:59 5,154 ----a-w C:\Program Files\hijackthis.log
2008-05-03 21:05 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\winlogonpc.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\taack.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ssurf022.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\sncntr.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psoft1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psof1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ps1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\mwin32.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\msnbho.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hoproxy.dll
2008-04-13 16:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 16:21 --------- d-----w C:\Program Files\ChessBase
2008-04-13 16:21 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\ChessBase
2008-04-02 19:09 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-04-02 19:09 2,317,280 ----a-w C:\Program Files\zipit3.exe
2008-04-02 18:35 --------- d-----w C:\Program Files\QuickZip4
2008-04-02 18:32 4,399,029 ----a-w C:\Program Files\quickzip.exe
2008-03-31 17:40 --------- d-----w C:\Program Files\Alwil Software
2008-03-31 16:47 --------- d-----w C:\Program Files\AxBx
2008-03-31 16:42 21,907,616 ----a-w C:\Program Files\setupfre.exe
2008-03-31 16:41 401,720 ----a-w C:\Program Files\HiJackThis.exe
2008-03-31 16:38 1,264,022 ----a-w C:\Program Files\pcsecuritytest.zip
2008-03-30 18:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-03-30 18:09 14,163,419 ----a-w C:\Program Files\klcodec370f.exe
2008-03-27 21:26 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\dvdcss
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-07 19:14 164 ---ha-w C:\Documents and Settings\All Users\hpothb07.dat
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-12-03 08:35 11,170,003 ----a-w C:\Program Files\vlc-0.8.6d.tar.bz2
2007-12-03 08:34 14,285,681 ----a-w C:\Program Files\vlc-0.8.6d-win32.zip
2007-12-03 08:34 1,501 ----a-w C:\Program Files\vlc-0.8.6d-announce
2006-06-15 09:29 49,936 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2005-10-31 15:18 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{759AAA60-8C93-40E1-858B-2A2215CA997A}]
C:\WINDOWS\system32\ssqPjhec.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"eniwhdml"="C:\WINDOWS\system32\zcvuxypu.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 23:05 32881]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 05:19 69632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-07 08:00 8523776]
"nwiz"="nwiz.exe" [2007-11-07 08:00 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-07 08:00 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"dWqpVdEA7Z"= C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJDTKCr]
ljJDTKCr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\system32\drivers\als4000.sys [2001-10-22 13:46]
R3 NBXG7031;NB 802.11g XG703 SP1 Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2004-09-17 11:56]
S3 ALS4KMF;ALS4KMF;C:\WINDOWS\system32\drivers\mf.sys [2004-08-04 03:05]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 20:31:37
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-06 20:35:34 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-06 18:35:17
Pre-Run: 5,381,591,040 octets libres
Post-Run: 6,049,677,312 octets libres
170 --- E O F --- 2008-04-14 16:00:58
|
|
|
|
|
pour hijackthis voilà !
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HiJackThis.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avwsc.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowslive.fr/hotmail/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {759AAA60-8C93-40E1-858B-2A2215CA997A} - C:\WINDOWS\system32\ssqPjhec.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eniwhdml] C:\WINDOWS\system32\zcvuxypu.exe
O4 - HKLM\..\Policies\Explorer\Run: [dWqpVdEA7Z] C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O20 - Winlogon Notify: ljJDTKCr - ljJDTKCr.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4890 bytes
|
|
|
|
|
correctif combofix avec console récupération à priori effectué ! Sorry so.
ComboFix 08-05-01.3 - Administrateur 2008-05-06 21:17:46.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.404 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\ComboFix.exe
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.
2008-05-06 19:17 . 2008-05-06 19:17 <REP> d-------- C:\VundoFix Backups
2008-05-05 22:37 . 2008-05-05 22:37 <REP> d-------- C:\Documents and Settings\LocalService.AUTORITE NT.000\Mes documents
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Program Files\Avira
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-05-05 19:51 . 2008-05-05 19:52 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-04 23:01 . 2008-05-06 20:16 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-04 18:34 . 2008-05-04 18:47 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-04 18:21 . 2008-05-04 23:00 <REP> d-------- C:\Program Files\Panda Security
2008-05-03 20:44 . 2008-05-03 22:56 <REP> d-------- C:\Documents and Settings\Administrateur.TITANIUM.000\.housecall6.6
2008-05-03 00:31 . 2008-05-04 20:32 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw
2008-05-03 00:31 . 2008-05-03 00:31 4,096 --a------ C:\WINDOWS\system32\WINWGPX.EXE
2008-04-14 18:18 . 2008-04-14 18:18 210,098 --a------ C:\Program Files\icscreensaver.exe
2008-04-13 18:40 . 2008-04-28 19:28 2,715 --a------ C:\Saved.game
2008-04-13 18:39 . 2008-04-13 18:40 <REP> d-------- C:\DBParams
2008-04-13 18:26 . 2001-11-08 21:45 1,567,052 --a------ C:\lakes.cbw
2008-04-13 18:26 . 1996-09-10 14:22 1,244,016 --a------ C:\WorldEx.cbw
2008-04-13 18:24 . 2008-04-13 18:25 <REP> d-------- C:\Bitmaps
2008-04-13 18:24 . 2001-11-11 19:42 2,753,751 --a------ C:\eng.chm
2008-04-13 18:24 . 1995-06-10 13:25 131,172 --a------ C:\Eco.cod
2008-04-13 18:24 . 1999-09-19 15:40 3,101 --a------ C:\fritzlogo.gif
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 18:42 4,891 ----a-w C:\Program Files\hijackthis.log
2008-05-03 21:05 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\winlogonpc.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\taack.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ssurf022.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\sncntr.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psoft1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psof1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ps1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\mwin32.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\msnbho.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hoproxy.dll
2008-04-13 16:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 16:21 --------- d-----w C:\Program Files\ChessBase
2008-04-13 16:21 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\ChessBase
2008-04-02 19:09 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-04-02 19:09 2,317,280 ----a-w C:\Program Files\zipit3.exe
2008-04-02 18:35 --------- d-----w C:\Program Files\QuickZip4
2008-04-02 18:32 4,399,029 ----a-w C:\Program Files\quickzip.exe
2008-03-31 17:40 --------- d-----w C:\Program Files\Alwil Software
2008-03-31 16:47 --------- d-----w C:\Program Files\AxBx
2008-03-31 16:42 21,907,616 ----a-w C:\Program Files\setupfre.exe
2008-03-31 16:41 401,720 ----a-w C:\Program Files\HiJackThis.exe
2008-03-31 16:38 1,264,022 ----a-w C:\Program Files\pcsecuritytest.zip
2008-03-30 18:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-03-30 18:09 14,163,419 ----a-w C:\Program Files\klcodec370f.exe
2008-03-27 21:26 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\dvdcss
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-07 19:14 164 ---ha-w C:\Documents and Settings\All Users\hpothb07.dat
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-12-03 08:35 11,170,003 ----a-w C:\Program Files\vlc-0.8.6d.tar.bz2
2007-12-03 08:34 14,285,681 ----a-w C:\Program Files\vlc-0.8.6d-win32.zip
2007-12-03 08:34 1,501 ----a-w C:\Program Files\vlc-0.8.6d-announce
2006-06-15 09:29 49,936 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2005-10-31 15:18 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
.
((((((((((((((((((((((((((((( snapshot@2008-05-06_20.34.41.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-06 18:30:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-06 19:14:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{759AAA60-8C93-40E1-858B-2A2215CA997A}]
C:\WINDOWS\system32\ssqPjhec.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"eniwhdml"="C:\WINDOWS\system32\zcvuxypu.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 23:05 32881]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 05:19 69632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-07 08:00 8523776]
"nwiz"="nwiz.exe" [2007-11-07 08:00 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-07 08:00 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 03:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"dWqpVdEA7Z"= C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJDTKCr]
ljJDTKCr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\system32\drivers\als4000.sys [2001-10-22 13:46]
R3 NBXG7031;NB 802.11g XG703 SP1 Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2004-09-17 11:56]
S3 ALS4KMF;ALS4KMF;C:\WINDOWS\system32\drivers\mf.sys [2004-08-04 03:05]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 21:21:21
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-05-06 21:23:35
ComboFix-quarantined-files.txt 2008-05-06 19:23:25
ComboFix2.txt 2008-05-06 18:35:36
Pre-Run: 6,019,276,800 octets libres
Post-Run: 6,014,128,128 octets libres
128 --- E O F --- 2008-04-14 16:00:58
|
|
|
|
|
voici aussi le correctif hijackthis ! Merci
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:27, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowslive.fr/hotmail/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {759AAA60-8C93-40E1-858B-2A2215CA997A} - C:\WINDOWS\system32\ssqPjhec.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eniwhdml] C:\WINDOWS\system32\zcvuxypu.exe
O4 - HKLM\..\Policies\Explorer\Run: [dWqpVdEA7Z] C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw\vcdwhovo.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O20 - Winlogon Notify: ljJDTKCr - ljJDTKCr.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4824 bytes
|
|
team sécurité
|
|
|
Combofix script
Copie le texte se situant dans le cadre ci-dessous :
Folder::
C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw
C:\VundoFix Backups
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{759AAA60-8C93-40E1-858B-2A2215CA997A}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"dWqpVdEA7Z"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJDTKCr]
Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt.
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
Cela va relancer Combofix, tape sur 1 puis valide. Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
S'il n'y a pas de rédémarrage, poste quand même les rapports.
|
|
|
|
|
rapport combofix
ComboFix 08-05-01.3 - Administrateur 2008-05-06 21:33:45.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.414 [GMT 2:00]
Endroit: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrateur.TITANIUM.000\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users.WINDOWS\Application Data\zgnqxslw
C:\VundoFix Backups
.
((((((((((((((((((((((((((((( Fichiers créés 2008-04-06 to 2008-05-06 ))))))))))))))))))))))))))))))))))))
.
2008-05-05 22:37 . 2008-05-05 22:37 <REP> d-------- C:\Documents and Settings\LocalService.AUTORITE NT.000\Mes documents
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Program Files\Avira
2008-05-05 19:56 . 2008-05-05 19:56 <REP> d-------- C:\Documents and Settings\All Users.WINDOWS\Application Data\Avira
2008-05-05 19:51 . 2008-05-05 19:52 22,311,160 --a------ C:\Program Files\antivir_workstation_winu_en_h.exe
2008-05-04 23:01 . 2008-05-06 20:16 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
2008-05-04 18:34 . 2008-05-04 18:47 <REP> d-------- C:\WINDOWS\BDOSCAN8
2008-05-04 18:21 . 2008-05-04 23:00 <REP> d-------- C:\Program Files\Panda Security
2008-05-03 20:44 . 2008-05-03 22:56 <REP> d-------- C:\Documents and Settings\Administrateur.TITANIUM.000\.housecall6.6
2008-05-03 00:31 . 2008-05-03 00:31 4,096 --a------ C:\WINDOWS\system32\WINWGPX.EXE
2008-04-14 18:18 . 2008-04-14 18:18 210,098 --a------ C:\Program Files\icscreensaver.exe
2008-04-13 18:40 . 2008-04-28 19:28 2,715 --a------ C:\Saved.game
2008-04-13 18:39 . 2008-04-13 18:40 <REP> d-------- C:\DBParams
2008-04-13 18:26 . 2001-11-08 21:45 1,567,052 --a------ C:\lakes.cbw
2008-04-13 18:26 . 1996-09-10 14:22 1,244,016 --a------ C:\WorldEx.cbw
2008-04-13 18:24 . 2008-04-13 18:25 <REP> d-------- C:\Bitmaps
2008-04-13 18:24 . 2001-11-11 19:42 2,753,751 --a------ C:\eng.chm
2008-04-13 18:24 . 1995-06-10 13:25 131,172 --a------ C:\Eco.cod
2008-04-13 18:24 . 1999-09-19 15:40 3,101 --a------ C:\fritzlogo.gif
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 19:27 4,825 ----a-w C:\Program Files\hijackthis.log
2008-05-03 21:05 --------- d-----w C:\Program Files\Fichiers communs\Symantec Shared
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\winlogonpc.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\taack.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ssurf022.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\sncntr.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psoft1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\psof1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\ps1.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\mwin32.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\msnbho.dll
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hxiwlgpm.exe
2008-05-02 22:32 4,096 ----a-w C:\WINDOWS\system32\hoproxy.dll
2008-04-13 16:24 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-13 16:21 --------- d-----w C:\Program Files\ChessBase
2008-04-13 16:21 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\ChessBase
2008-04-02 19:09 724,992 ----a-w C:\WINDOWS\iun6002.exe
2008-04-02 19:09 2,317,280 ----a-w C:\Program Files\zipit3.exe
2008-04-02 18:35 --------- d-----w C:\Program Files\QuickZip4
2008-04-02 18:32 4,399,029 ----a-w C:\Program Files\quickzip.exe
2008-03-31 17:40 --------- d-----w C:\Program Files\Alwil Software
2008-03-31 16:47 --------- d-----w C:\Program Files\AxBx
2008-03-31 16:42 21,907,616 ----a-w C:\Program Files\setupfre.exe
2008-03-31 16:41 401,720 ----a-w C:\Program Files\HiJackThis.exe
2008-03-31 16:38 1,264,022 ----a-w C:\Program Files\pcsecuritytest.zip
2008-03-30 18:15 --------- d-----w C:\Program Files\K-Lite Codec Pack
2008-03-30 18:09 14,163,419 ----a-w C:\Program Files\klcodec370f.exe
2008-03-27 21:26 --------- d-----w C:\Documents and Settings\Administrateur.TITANIUM.000\Application Data\dvdcss
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-07 19:14 164 ---ha-w C:\Documents and Settings\All Users\hpothb07.dat
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2007-12-03 08:35 11,170,003 ----a-w C:\Program Files\vlc-0.8.6d.tar.bz2
2007-12-03 08:34 14,285,681 ----a-w C:\Program Files\vlc-0.8.6d-win32.zip
2007-12-03 08:34 1,501 ----a-w C:\Program Files\vlc-0.8.6d-announce
2006-06-15 09:29 49,936 -c--a-w C:\Documents and Settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2005-10-31 15:18 278,528 -c--a-w C:\Program Files\Fichiers communs\FDEUnInstaller.exe
2002-07-26 16:02 153,088 ----a-w C:\Program Files\UNWISE.EXE
.
((((((((((((((((((((((((((((( snapshot@2008-05-06_20.34.41.53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-06 18:30:23 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-06 19:14:52 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 02:54 15360]
"eniwhdml"="C:\WINDOWS\system32\zcvuxypu.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 23:05 32881]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 04:06 40048]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 05:19 69632]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-07 08:00 8523776]
"nwiz"="nwiz.exe" [2007-11-07 08:00 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-07 08:00 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
C:\Documents and Settings\All Users.WINDOWS\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 03:15:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R3 als4k;Avance Audio Miniport Driver (WDM);C:\WINDOWS\system32\drivers\als4000.sys [2001-10-22 13:46]
R3 NBXG7031;NB 802.11g XG703 SP1 Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2004-09-17 11:56]
S3 ALS4KMF;ALS4KMF;C:\WINDOWS\system32\drivers\mf.sys [2004-08-04 03:05]
S3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 21:35:59
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
Temps d'accomplissement: 2008-05-06 21:38:01
ComboFix-quarantined-files.txt 2008-05-06 19:37:54
ComboFix2.txt 2008-05-06 19:23:36
ComboFix3.txt 2008-05-06 18:35:36
Pre-Run: 6,003,261,440 octets libres
Post-Run: 5,996,474,368 octets libres
128 --- E O F --- 2008-04-14 16:00:58
|
|
|
|
|
rapport hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:42, on 06/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowslive.fr/hotmail/default.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eniwhdml] C:\WINDOWS\system32\zcvuxypu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuw(...)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4516 bytes
|
|
team sécurité
|
|
|
|
|
Je redémarre antivir ! et vous tiens rapidement informé !
Par contre, dans d'autres posts, j'ai lu ici et la que malwarebyte s antimalware et toolscleaners étaient recommandés pour une vérification plus affinée.
Admettant que ANTIVIR ne s'affole plus, dois-je considérer être totalement désinfecté (pour aujourd'hui en tout cas) ? Ou dois-je par précaution lancer les 2 recommandations ci-dessus ? Ayant eu déjà un souci il y a 2 ans, on m'avait fait sélectionner des lignes à partir de hijackthis pour les supprimer (seras-ce encore le cas ou combofix a déjà procédé à cela automatiquement ?)
Merci pour cela. Je reviens vite vous tenir informé !!!
Ensuite de ce qui a été installé sur mon bureau pour tous ces tests, que dois-je conserver et que dois-je supprimer ?
|
|
team sécurité
|
|
|
ericn2 a écrit :
Par contre, dans d'autres posts, j'ai lu ici et la que malwarebyte s antimalware et toolscleaners étaient recommandés pour une vérification plus affinée.
Admettant que ANTIVIR ne s'affole plus, dois-je considérer être totalement désinfecté (pour aujourd'hui en tout cas) ? Ou dois-je par précaution lancer les 2 recommandations ci-dessus ? Ayant eu déjà un souci il y a 2 ans, on m'avait fait sélectionner des lignes à partir de hijackthis pour les supprimer (seras-ce encore le cas ou combofix a déjà procédé à cela automatiquement ?)
Merci pour cela. Je reviens vite vous tenir informé !!!
Ensuite de ce qui a été installé sur mon bureau pour tous ces tests, que dois-je conserver et que dois-je supprimer ?
toolcleaner sers justement a supprimer et désinstaller les outils et les rapport que je t ai fait servir!!
mam (malwarebyte j allé te le faire passer après avoir eu confirmation que tu n ai plus d embêtement pour justement affiné le nettoyage)ne t inquiet pas je te lâche pas comme ça sans nettoyage approfondie et sans mes célèbre (lol) recommandation!!
a+ tard pour la suite
|
|
|
|
|
Bonjour,
Voici la situation à ce matin !
1/ Pb gestionnaire de taches : revenu à la normale !
2/ alertes intempestives vundo : arrêtées
3/ Antivir trouve encore pleins de virus et de trojans
4/ le PC essaye de s'alumer tout seul vers 6:30 am sans succès et provoquant une brève coupure d'électricité dans toute la maison. Je n'y avais pas prêté attention jusqu'ici mais c'est systématique depuis plusieurs jours.
Voilà, j'attends la suite de vos recomandations, comment dire ..... célèbres (lol)
L'un de vos futurs fans !!!
|
|
|
|
|
Juste pour info, voici le scan d'ANTIVIR ! A noter que pour les scans que j'ai réalisés via ANTIVIR et ceux concernant les autres antivirus, je n'ai aucune idée si cela a bien scanné "tout" le PC (C ; D; G...) ? Ex: ci dessous, on voit bien un scan détaillé pour C mais pour D & G, il est écrit begin scan "sans aucun détail" donc sans certitude pour moi que des recherches ont vraiment abouties dans D & G ?
Merci d'avance,
Avira AntiVir Personal
Report file date: mercredi 7 mai 2008 07:31
Scanning for 1253417 virus strains and unwanted programs.
Licensed to: Avira AntiVir PersonalEdition Classic
Serial number: 0000149996-ADJIE-0001
Platform: Windows XP
Windows version: (Service Pack 2) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: TITANIUM
Version information:
BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18/03/2008 09:02:56
AVSCAN.DLL : 8.1.1.0 53505 Bytes 07/02/2008 08:43:37
LUKE.DLL : 8.1.2.9 151809 Bytes 28/02/2008 08:41:23
LUKERES.DLL : 8.1.2.1 12033 Bytes 21/02/2008 08:28:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 13:08:58
ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05/0 | | |
