[résolu] virus de fond d'écran?? - Sécurité, virus et assimilés::Trojan et spywares

Passionné(e) d'internet, de logiciels, de forums ? 01net recrute...

Auteur

Message

ced753

Posté le 19/05/2008 12:08:49

Salut tout le monde, voila depuis hier je suis embêter par une pub (avec plusieus liens allant vers des sites internet) qui squatte mon bureau et il n'y a pas moyen de l'enlever... C'est très agaçant... Et puis maintenant au démarrage mon ordi me dit tout le temps que les mises à jours automatiques sont désactivée mais il n'y a pas moyen non plus de les réactiver. Aussi lorsque que je fait ctrl+alt+delete il me dit "le gestionnaire des tâche a été désactivé par votre administrateur" et enfin pour finir lorsque je suis sur internet, presque à chaque click que je fait il me met un message comme quoi je devrait télécharger un bazard de sécurité antivirus et que mon ordi est infecter et quand je met non il m'ouvre quand même des autres pages de telechargement etc... :hurle:

Merci d'avance pour vos réponses!

-->Message édité par ced753 le 20/05/2008 19:35:01<--

bibou0007

team sécurité
:-)

Posté le 19/05/2008 12:09:44

bonjour

Télécharge smitfraudfix de S!Ri
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 12:28:12

Salut

merci pour ta réponse rapide!

Voici le rapport, je ne sais pas si ça peut aider aussi mais mon ordi a déja planter 2 fois depuis le matin... Enfin voila le rapport,

SmitFraudFix v2.320

Rapport fait à 12:24:03,34, lun. 19/05/2008
Executé à partir de C:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\antispyware\aawservice.exe
C:\Program Files\Alwil Software\Avast4 antivirus\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\AVAST4~1\ashDisp.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Documents and Settings\admin\lsass.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\admin\Mes documents\Vinoth\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashMaiSv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\privacy_danger PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\admin\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="file:///C:/DOCUME~1/admin/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg"
"SubscribedURL"="file:///C:/DOCUME~1/admin/LOCALS~1/Temp/msoclip1/01/clip_image002.jpg"
"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 195.238.2.21
DNS Server Search Order: 195.238.2.22

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

bibou0007

team sécurité
:-)

Posté le 19/05/2008 12:31:10

Nettoyage:
[list]

Redémarre l'ordinateur en mode sans échec (au démarrage de l'ordinateur, tapoter F8 ) tuto mode sans echec

Double clique sur SmitfraudFix.exe

Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.

A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.

Un redémarrage sera peut être nécessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt [/list]
Poste le rapport dans ton prochain message.

ps si ton rapport est trés grand merci de le mettre comme indiqué dans ce lien
http://bibou0007.com/aide-a-la-desinfection-f8/rapport-de-grande-taille-t765.(...)

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 13:04:32

j'essayede le mettre en mode sasn echec mais quand au démarrage je tappe F8 j'ai ceci:

please select boot device :

1st FLOPPY DRIVE
SM-SAMSUNG DVD-ROM SD-616E
SS-ASUS CRW-5232AS
3M-WDC WD2000JD-00GB0

je ne sais pas quoi faire...

bibou0007

team sécurité
:-)

Posté le 19/05/2008 13:18:19

fait le en mode normal

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 13:26:26

Voila qui est fait... Mais il ne m'a pas demander "corriger le fichier infecter?" Mais par contre le fond d'écran à disparu mais je ne sais pas le changer pour le moment...
Voici le rapport :

SmitFraudFix v2.320

Rapport fait à 13:19:33,40, lun. 19/05/2008
Executé à partir de C:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\privacy_danger\ supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 195.238.2.21
DNS Server Search Order: 195.238.2.22

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

ced753

Posté le 19/05/2008 13:45:22

il me l'avait déja fait 3 fois avant et quand je mettait OK (pas d'autres choix) toutes les icones du bureau et la barre des tâches disparaissait, j'était obligé de faire un reset, ici il vient de me remettre ce message d'erreur mais je n'ai pas du resetter... Voici le message :

Microsoft visulC++ Runtimelibrary

Buffer overrun detected!

Program:C:\WINDOWS\exploreur.exe

A buffer overrun has been detected which has corrupted the program's internal state. The program cannot safely continue execution and must now be terminated

Il ne me l'avait jamais fait avant hier après-midi...

ced753

Posté le 19/05/2008 13:50:09

Et puis maintenant il ouvre cette page-ci aussi régulièrement... :pt1cable:

http://www.pas-de-lien-dangereux

-->Message édité par bibou0007 le 19/05/2008 20:15:18<--

bibou0007

team sécurité
:-)

Posté le 19/05/2008 20:15:45

Désactive toute protection résidente ! (Antivirus, antispywares..)
Télécharge ComboFix (créé par sUBs) sur ton Bureau

Démarre en mode sans echec

Double clique combofix.exe.

Tape sur la touche Y (Yes) pour démarrer le scan.

Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse,et nouveau rapport hijackthis

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

tuto ici

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 20:18:50

Et est-ce que je peux le faire en mode normal? car je vais avoir le meme probleme que tantot pour le mettre en mode sans echec...

bibou0007

team sécurité
:-)

Posté le 19/05/2008 20:22:37

bon fait le en mode normal pour voir au debut !

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 20:25:31

Ok nickel mais ici je ne suis pas cher moi donc pas sur mon ordi qui bug mais d'ici une demi heure j aurai poster ca normalement! Merci a tantot!

ced753

Posté le 19/05/2008 21:22:06

Bon je viens d'essayer combofix en mode normal mais déja a la base je n'ai pas du mettre de "y" pour commencer il m'a juste ouvert une fenêtre ou je devait mettre si j'acceptait le contrat d'utilisation j'ai mis oui puis il a démarer, il a fait un truc ou il mettait supression de fichiers, etc puis a redemarrer mon ordi un moment et m'a mis n'ouvrer rien tant que combofix n'a pas fini, il fesait le rapport a se qu'il mettait puis j'ai attendu 6-7 minute et rien ne se passait j'ai juste cliquer sur la fenêtre du programme et puis le programme est partit mais je n'ai pas de rapport... Qu'est se que je doit faire?

bibou0007

team sécurité
:-)

Posté le 19/05/2008 21:28:33

regarde la

C:\Combofix.txt

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 21:29:27

Je viens de remarquer que je pouvais de nouveau modifier mon arriere plan du bureau, il n'est plus bloquer... :love:

bibou0007

team sécurité
:-)

Posté le 19/05/2008 21:30:04

je t ai répondu au dessut

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 21:33:23

A voila en fesant une recherche je l'ai trouver! Désoler j'avais pourtant regarder après mais pas asser apparement! :sarcastic:

Voila le combofix :

ComboFix 08-05-15.3 - admin 2008-05-19 21:01:28.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.187 [GMT 2:00]
Endroit: C:\Documents and Settings\admin\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
C:\Program Files\antispyware
C:\Program Files\antispyware\AAWLic.exe
C:\Program Files\antispyware\aawservice.exe
C:\Program Files\antispyware\AAWTray.exe
C:\Program Files\antispyware\Ad-Aware2007.exe
C:\Program Files\antispyware\Ad-Watch2007.exe
C:\Program Files\antispyware\alert.wav
C:\Program Files\antispyware\AWCCommunicatorDLL.dll
C:\Program Files\antispyware\AWCoreComm.dll
C:\Program Files\antispyware\AWProcessWatch.dll
C:\Program Files\antispyware\AWRegWatchDLL.dll
C:\Program Files\antispyware\CEAPI.dll
C:\Program Files\antispyware\CookieBlocker.dll
C:\Program Files\antispyware\Help\Ad-Aware2007manual-EN.chm
C:\Program Files\antispyware\HostFileEditor.exe
C:\Program Files\antispyware\Lang\EN.lslang
C:\Program Files\antispyware\Lang\FR.lslang
C:\Program Files\antispyware\lavalicense.dll
C:\Program Files\antispyware\lavamessage.dll
C:\Program Files\antispyware\lsupdatemanager.exe
C:\Program Files\antispyware\pkarchive85u.dll
C:\Program Files\antispyware\ProcessWatch.dll
C:\Program Files\antispyware\ProcessWatch.exe
C:\Program Files\antispyware\Registration\plus_12_months.prg
C:\Program Files\antispyware\Registration\plus_18_months.prg
C:\Program Files\antispyware\Registration\plus_24_months.prg
C:\Program Files\antispyware\Registration\plus_36_months.prg
C:\Program Files\antispyware\Registration\plus_corporate.prg
C:\Program Files\antispyware\Registration\plus_home_office.prg
C:\Program Files\antispyware\Registration\professional_12_months.prg
C:\Program Files\antispyware\Registration\professional_18_months.prg
C:\Program Files\antispyware\Registration\professional_24_months.prg
C:\Program Files\antispyware\Registration\professional_36_months.prg
C:\Program Files\antispyware\Registration\professional_corporate.prg
C:\Program Files\antispyware\Registration\registration_helper.prg
C:\Program Files\antispyware\Skin\Ad-Aware 2007 Pro Default.LGFF
C:\Program Files\antispyware\Skin\Sedona.LGFF
C:\Program Files\antispyware\unrar.dll
C:\Program Files\antispyware\Update.dll
C:\Program Files\antispyware\upmanager.dll
C:\Program Files\ContextTool
C:\Program Files\ContextTool\ContextHelper.dat
C:\Program Files\ContextTool\pcre3.dll
C:\Program Files\ContextTool\uninstall.exe
C:\Program Files\montorgueil
C:\Program Files\montorgueil\NewHentai\NewHentai.ico
C:\Program Files\PlayMP3z
C:\Program Files\PlayMP3z\uninstall.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\oyhjhxrf.ini
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\socxasvt.ini
C:\WINDOWS\system32\UpMedia
C:\WINDOWS\system32\XyGiknmp.ini
C:\WINDOWS\system32\XyGiknmp.ini2

----- BITS: Possible sites infect‚s -----

hxxp://softworldnetwork.com
hxxp://onsafepro.com
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-19 to 2008-05-19 ))))))))))))))))))))))))))))))))))))
.

2008-05-19 12:24 . 2008-05-19 13:19 3,928 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-19 12:23 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-19 12:23 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-19 12:23 . 2008-05-15 23:22 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-19 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-19 12:23 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-19 12:23 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-19 12:23 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-19 12:23 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-19 10:31 . 2008-05-19 10:31 94,208 --a------ C:\WINDOWS\system32\frxhjhyo.dll
2008-05-19 10:24 . 2008-05-19 21:08 109,807 --a------ C:\WINDOWS\BM3359262f.xml
2008-05-19 10:24 . 2008-05-19 10:24 109,056 --a------ C:\WINDOWS\system32\mmwvcuov.dll
2008-05-18 17:39 . 2008-05-18 21:06 <REP> d-------- C:\WINDOWS\system32\emL1
2008-05-18 17:39 . 2008-05-18 17:40 <REP> d-------- C:\Program Files\winvi
2008-05-18 15:06 . 2008-05-18 15:06 375,808 --a------ C:\WINDOWS\system32\pmnkiGyX.dll
2008-05-18 15:01 . 2008-05-18 17:39 <REP> d-------- C:\WINDOWS\system32\3056v
2008-05-18 15:01 . 2008-05-18 15:01 <REP> d-------- C:\Temp\dmpxp32
2008-05-18 15:01 . 2008-05-18 15:01 40,960 --a------ C:\Documents and Settings\admin\services.exe
2008-05-18 15:01 . 2008-05-18 15:01 28,672 --a------ C:\WINDOWS\system32\cbXQjkIy.dll
2008-05-18 15:00 . 2008-04-23 20:45 83,968 ---hs---- C:\Documents and Settings\admin\lsass.exe
2008-05-16 23:10 . 2008-05-16 23:10 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-09 17:22 . 2008-05-18 15:32 <REP> d-------- C:\Program Files\TomTom HOME 2
2008-05-09 17:22 . 2008-05-09 17:22 <REP> d-------- C:\Documents and Settings\admin\Application Data\TomTom
2008-05-05 16:18 . 2008-05-05 16:18 <REP> d-------- C:\Program Files\Nouveau dossier
2008-05-05 16:06 . 2008-05-05 16:06 <REP> d-------- C:\Program Files\EAGLE-4.15
2008-04-29 19:06 . 2008-04-29 19:06 <REP> d-------- C:\Program Files\Imaginewheel

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 20:50 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-04-23 21:47 --------- d-----w C:\Program Files\EWB512
2008-04-06 12:13 --------- d-----w C:\Program Files\Java
2008-03-30 17:38 --------- d-----w C:\Program Files\jeux
2008-03-26 20:05 --------- d-----w C:\Documents and Settings\admin\Application Data\Teleca
2008-03-26 20:04 --------- d-----w C:\Program Files\Fichiers communs\Teleca Shared
2008-03-25 15:25 8,012 -c--a-w C:\Documents and Settings\admin\Application Data\ViewerApp.dat
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-22 17:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-01-23 09:41 20,907,376 ----a-w C:\Program Files\antispyware.exe
2006-09-18 15:38 5,037,072 ----a-w C:\Program Files\spybotsd14.exe
2005-11-13 19:41 13,625 -c--a-w C:\Program Files\setup.stf
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A290466-39BD-419B-93DB-0E9599506654}]
2008-05-18 15:01 28672 --a------ C:\WINDOWS\system32\cbXQjkIy.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A2E9CC74-0583-4D44-BE4C-C3C58A8E33C7}]
2008-05-18 15:06 375808 --a------ C:\WINDOWS\system32\pmnkiGyX.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3728161D-8A68-4F3F-A8E1-96A4F9C93DB8}"= "C:\WINDOWS\elfwgps.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{3728161d-8a68-4f3f-a8e1-96a4f9c93db8}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar.1]
[HKEY_CLASSES_ROOT\TypeLib\{F6EC7B26-7273-4967-BB0A-CDD47870FF1D}]
[HKEY_CLASSES_ROOT\elfwgps.ToolBar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]
"TomTomHOME.exe"="C:\Program Files\TomTom HOME 2\HOMERunner.exe" [2008-05-06 10:42 202088]
"WinUpdater"="C:\Program Files\winvi\update.exe" [ ]
"WebSUpdater"="C:\Program Files\winvi\wupda.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28 790528]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38 241664]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-17 00:11 49152]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2005-11-19 21:53 180269]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-15 20:43 282624]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 22:43 7630848]
"nwiz"="nwiz.exe" [2006-08-11 22:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 22:43 86016]
"Belgacom"="C:\Program Files\Belgacom\bin\sprtcmd.exe" [2006-06-22 11:34 192512]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-06-28 21:29 32768]
"306a15b3"="C:\WINDOWS\system32\frxhjhyo.dll" [2008-05-19 10:31 94208]
"BM3359262f"="C:\WINDOWS\system32\mmwvcuov.dll" [2008-05-19 10:24 109056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-05 14:00 400896 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-05 14:00 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8A290466-39BD-419B-93DB-0E9599506654}"= C:\WINDOWS\system32\cbXQjkIy.dll [2008-05-18 15:01 28672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bqxomdo"= {8B631C00-85AC-4EE1-9842-B44830ED1A5C} - C:\WINDOWS\bqxomdo.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbXQjkIy]
cbXQjkIy.dll 2008-05-18 15:01 28672 C:\WINDOWS\system32\cbXQjkIy.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\StubInstaller.exe"=
"E:\\LimeWire\\LimeWire.exe"=
"C:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Documents and Settings\\admin\\Application Data\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\DofusUpdater\\DofusUpdater.exe"=
"C:\\Documents and Settings\\admin\\Mes documents\\Vinoth\\win dvd\\WinDVD.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
S3 ADM8511;Belkin USB Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\NET8511.SYS [2001-04-09 14:11]
S3 USBVSP;USBVSP;C:\WINDOWS\system32\drivers\Usbvsp.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59642665-8a0b-11dc-8349-00112f47c4d2}]
\Shell\AutoRun\command - RavMon.exe
\Shell\explore\Command - RavMon.exe -e
\Shell\open\Command - RavMon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cf326d12-59c5-11da-bfd2-00112f47c4d2}]
\Shell\Auto\command - D:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-19 18:38:00 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

et le suivant :

SmitFraudFix v2.320

Rapport fait à 21:31:47.46, 2008-05-19
Executé à partir de C:\Documents and Settings\admin\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4 antivirus\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashWebSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Documents and Settings\admin\Mes documents\Vinoth\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\admin\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\admin\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 195.238.2.21
DNS Server Search Order: 195.238.2.22

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer=195.238.2.21,195.238.2.22

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

bibou0007

team sécurité
:-)

Posté le 19/05/2008 21:36:07

le suivant demandé étais un nouveau hijackthis peu tu m en mettre un nouveau stp!

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 21:40:48

Oups vraiment désoler je pensais que c'était ca! Comment est-ce que l'on fait pour faire un hijackthis?

bibou0007

team sécurité
:-)

Posté le 19/05/2008 21:47:27

oups pardon moi aussi je croyais qu on l avais deja fait!!lol

Télécharge HijackThis v2.0.2 de trend secure
lien et tuto ici
suis les indications et poste le rapport dans ton prochain message.

-------
http://bibou0007.com/
-------
Il est plus simple d'infecter votre pc que de le désinfecter,pensez y.Ne pas cliquer ici!

ced753

Posté le 19/05/2008 21:49:17

Il n'y a pas de problème! Voila j'ai trouvé!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:47, on 2008-05-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4 antivirus\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashServ.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4 antivirus\ashWebSv.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Belgacom\bin\sprtcmd.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TomTom HOME 2\HOMERunner.exe
C:\Documents and Settings\admin\Mes documents\Vinoth\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.40
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {8A290466-39BD-419B-93DB-0E9599506654} - C:\WINDOWS\system32\cbXQjkIy.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A2E9CC74-0583-4D44-BE4C-C3C58A8E33C7} - C:\WINDOWS\system32\pmnkiGyX.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Reactivator - {AC2E8306-D24E-4082-8669-7781499F4E03} - C:\PROGRA~1\EVERYT~1.1\everycom.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Every Toolbar - {A20A76AD-7A29-4756-87FE-70C334CB40C0} - C:\PROGRA~1\EVERYT~1.1\everycom.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: The elfwgps - {3728161D-8A68-4F3F-A8E1-96A4F9C93DB8} - C:\WINDOWS\elfwgps.dll (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Belgacom] "C:\Program Files\Belgacom\bin\sprtcmd.exe" /P Belgacom
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [306a15b3] rundll32.exe "C:\WINDOWS\system32\frxhjhyo.dll",b
O4 - HKLM\..\Run: [BM3359262f] Rundll32.exe "C:\WINDOWS\system32\mmwvcuov.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetupo.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bitmeter2.lnk = C:\Program Files\Codebox\BitMeter\BitMeter2.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Documents and Settings\admin\Mes documents\Vinoth\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} (SpinTop DRM Control) - file:///C:/Program%20Files/BookWorm/Images/stg_drm.ocx
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.apple.com.edgesuite.net/qtinstall.info.apple.com/lupin/us/win(...)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://colruyt.fujiprint.be/Colruyt/UserControls/Part/Upload/ImageUploader4.c(...)
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.(...)
O16 - DPF: {CC450D71-CC90-424C-8638-1F2DBAC87A54} (ArmHelper Control) - file:///C:/Program%20Files/BookWorm/Images/armhelper.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3760471-7BFE-4BB2-BF5A-A6019D580825}: NameServer = 195.238.2.21,195.238.2.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbXQjkIy - C:\WINDOWS\SYSTEM32\cbXQjkIy.dll
O21 - SSODL: bqxomdo - {8B631C00-85AC-4EE1-9842-B44830ED1A5C} - C:\WINDOWS\bqxomdo.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Unknown owner - C:\Program Files\antispyware\aawservice.exe (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4 antivirus\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4 antivirus\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4 antivirus\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4 antivirus\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 11176 bytes

bibou0007

team sécurité
:-)

Posté le 19/05/2008 22:12:44

y a un peu le bordel sur ce pc !
tu avais au moins 4 grosses infections fait gaffe a ton surf!!

Combofix script
Copie le texte se situant dans le cadre ci-dessous :

File::
C:\WINDOWS\system32\frxhjhyo.dll
C:\WINDOWS\BM3359262f.xml
C:\WINDOWS\system32\mmwvcuov.dll
C:\WINDOWS\system32\pmnkiGyX.dll
C:\WINDOWS\system32\cbXQjkIy.dll
C:\WINDOWS\bqxomdo.dll

Folder::
C:\Program Files\winvi

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8A290466-39BD-419B-93DB-0E9599506654}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A2E9CC74-0583-4D44-BE4C-C3C58A8E33C7}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinUpdater"=-
"WebSUpdater"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"306a15b3"=-
"BM3359262f"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{8A290466-39BD-419B-93DB-0E9599506654}"=-
[HKEY_LOCAL_MAC