|
|
Auteur
|
Message
|
1
|
|
|
|
Bonsoir,
je vous explique mon soucis brièvement, un trojan du nom de TrojanDownloader.XS a été détecté sur mon PC, ce qui me provoque environ toute les 30 min, l'ouverture d'une fenêtre me disant en anglais que je suis "peut être" infecté par un spyware, dans cette fenêtre ça m'affiche aussi une barre de risque remplie en rouge, ainsi qu'un lien pour enlever ce trojan, sauf que ce lien et publicitaire.
Si vous pouviez m'aider, là je sais plus quoi faire ( j'ai déjà scané avec spybot mais ça change rien).
Merci d'avance.
-->Message édité par Arva le 05/05/2008 18:33:43<--
|
|
Imagine ...
|
|
|
 Arva
Télécharge et installe SmitFraudFix (par S!Ri)
Double-clique sur SmitfraudFix.exe
Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
rapport que tu trouveras à la racine du disque système C:\rapport.txt
Poste-le.
|
|
|
|
|
et merci, j'ai aussi téléchargé Antivir (à la place de mon Avast) Il semblerait qu'antivir ai supprimé la source du problème puisque je n'ai plus les messages "alerte sécurité". Mais maintenant à chaque ouvertur de session, j'ai RUNDLL error 'erreur de chargement de C:\WINDOWS\system32\lmvbugqt.dll module spécifié introuvable"
J'ai aussi effectué le scan que tu m'a recommandé:
SmitFraudFix v2.319
Rapport fait à 14:07:36,89, 03/05/2008
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\SoftPerfect Personal Firewall\fw.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
Fichier hosts corrompu !
127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yannick
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Yannick\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Yannick\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"system"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: ULi PCI Fast Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252
DNS Server Search Order: 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3687CC2-AA0C-4922-9958-32F02B754485}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3687CC2-AA0C-4922-9958-32F02B754485}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A3687CC2-AA0C-4922-9958-32F02B754485}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A3687CC2-AA0C-4922-9958-32F02B754485}: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=212.27.53.252 212.27.54.252
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
-->Message édité par Arva le 03/05/2008 14:14:36<--
|
|
Imagine ...
|
|
|
|
|
voilà ce que ça donne:
Rapport GenProc 1.42 [1] effectué le 03/05/2008 à 15:47:19,76 - SystemRoot = C:\WINDOWS
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (par Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (par sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
- MSNFix.zip (de !aur3n7) http://sosvirus.changelog.fr/MSNFix.zip et décompresse-le sur le Bureau.
***** Copie ce qui suit dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "Yannick") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo".
Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers
Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe.
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan sera complété, un rapport apparaîtra
# Etape 3/
Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.
# Etape 4/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 5/
Redémarre normalement et poste :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
- Le contenu du rapport MSNfix situé sur le Bureau ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
|
|
Imagine ...
|
|
|
...
Mets cette procédure en application (dans l' ordre, si possible).
Une fois achevée, poste les rapports.
Bon courage  .
|
|
|
|
|
Alors voilà j'ai suivis les instructions dans l'ordre:
VundoFix me dit "scan effectué, aucun fichier infecté trouvé" et ne me donne pas de rapport.
Ensuite ComboFix me donne ce rapport là:
ComboFix 08-05-01.3 - Yannick 2008-05-04 12:42:54.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1734 [GMT 2:00]
Endroit: C:\Documents and Settings\Yannick\Bureau\Fix\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Yannick\Bureau\blackbird.jpg
C:\Documents and Settings\Yannick\Bureau\EditorFKWP1.5.exe
C:\Program Files\PC-Cleaner
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dMmnoUtv.ini
C:\WINDOWS\system32\dMmnoUtv.ini2
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\tqgubvml.ini
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-04 to 2008-05-04 ))))))))))))))))))))))))))))))))))))
.
2008-05-04 12:34 . 2008-05-04 12:34 <REP> d-------- C:\VundoFix Backups
2008-05-03 14:07 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-03 14:07 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-03 14:07 . 2008-04-24 08:10 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-03 14:07 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-03 14:07 . 2008-04-28 08:03 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-03 14:07 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-03 14:07 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-03 14:07 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-03 14:07 . 2008-05-03 14:07 3,646 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-02 18:00 . 2008-05-02 18:00 <REP> d-------- C:\Program Files\RegCure
2008-05-01 13:21 . 2008-05-01 13:21 <REP> d-------- C:\Program Files\Avira
2008-05-01 13:21 . 2008-05-01 13:21 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
2008-05-01 12:22 . 2008-05-01 12:22 3,932,214 --a------ C:\WINDOWS\BricoPack Wallpaper.bmp
2008-05-01 12:22 . 2008-05-01 12:22 54,870 --a------ C:\WINDOWS\BricoPackUninst.cmd
2008-05-01 12:18 . 2008-05-01 12:22 6,118 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2008-05-01 12:17 . 2008-05-01 12:17 <REP> d-------- C:\WINDOWS\BricoPacks
2008-04-30 21:00 . 2008-04-30 21:00 <REP> d-------- C:\Program Files\Trend Micro
2008-04-30 20:42 . 2008-05-01 14:36 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-04-30 20:24 . 2008-04-30 20:24 <REP> d-------- C:\Program Files\TGTSoft
2008-04-30 19:52 . 2008-04-30 19:52 <REP> d-------- C:\WINDOWS\ERUNT
2008-04-30 19:51 . 2008-04-30 19:51 3,072 --ahs---- C:\Thumbs.db
2008-04-30 19:46 . 2008-04-30 20:15 <REP> d-------- C:\SDFix
2008-04-30 18:36 . 2008-04-30 18:36 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-30 17:06 . 2008-04-30 20:36 8,192 --ahs---- C:\WINDOWS\Thumbs.db
2008-04-29 19:08 . 2008-04-29 19:08 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-29 17:29 . 2008-05-01 13:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\gnctcbol
2008-04-29 09:10 . 2008-04-29 09:10 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\Media Player Classic
2008-04-28 20:06 . 2008-04-28 20:07 <REP> d-------- C:\Documents and Settings\Jacques\Contacts
2008-04-23 20:07 . 2008-04-17 18:52 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\Dossier de t‚l‚chargement Share-to-Web
2008-04-18 21:05 . 2008-04-18 21:06 <REP> d-------- C:\WINDOWS\system32\fr-fr
2008-04-18 20:58 . 2008-03-01 14:58 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-04-18 20:58 . 2007-07-01 05:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-04-18 20:58 . 2007-07-01 05:36 1,048,576 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-04-18 20:58 . 2008-03-01 14:58 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-04-18 20:58 . 2008-03-01 14:58 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-04-18 20:58 . 2008-03-01 14:58 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-04-18 20:58 . 2008-03-01 14:58 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-04-18 20:58 . 2008-03-01 14:58 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-18 20:58 . 2008-02-22 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-18 20:07 . 2008-04-25 11:22 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\AdobeUM
2008-04-17 19:17 . 2008-04-17 19:17 <REP> d-------- C:\Program Files\Spider
2008-04-17 19:08 . 2008-04-18 21:07 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-04-17 19:06 . 2008-04-17 19:06 <REP> d--hs---- C:\Documents and Settings\Jacques\UserData
2008-04-17 18:53 . 2008-04-17 18:54 <REP> d-------- C:\Documents and Settings\Jacques1
2008-04-17 18:52 . 2006-03-25 04:34 <REP> d--h----- C:\Documents and Settings\Jacques\Voisinage r‚seau
2008-04-17 18:52 . 2006-03-25 04:34 <REP> d--h----- C:\Documents and Settings\Jacques\Voisinage d'impression
2008-04-17 18:52 . 2006-03-25 03:39 <REP> d--h----- C:\Documents and Settings\Jacques\ModŠles
2008-04-17 18:52 . 2008-04-17 18:53 <REP> d-------- C:\Documents and Settings\Jacques\Mes documents
2008-04-17 18:52 . 2006-03-25 04:34 <REP> dr------- C:\Documents and Settings\Jacques\Menu D‚marrer
2008-04-17 18:52 . 2008-04-19 12:58 <REP> dr------- C:\Documents and Settings\Jacques\Favoris
2008-04-17 18:52 . 2008-04-29 18:34 <REP> d-------- C:\Documents and Settings\Jacques\Bureau
2008-04-17 18:52 . 2008-04-17 20:49 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\SoftPerfect Personal Firewall
2008-04-17 18:52 . 2008-04-17 19:04 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\HP
2008-04-17 18:52 . 2008-04-17 18:52 <REP> d-------- C:\Documents and Settings\Jacques\Application Data\Dossier de t‚l‚chargement Share-to-Web
2008-04-17 18:52 . 2008-04-28 20:06 <REP> d-------- C:\Documents and Settings\Jacques
2008-04-17 18:52 . 2008-05-04 12:50 1,024 --ah----- C:\Documents and Settings\Jacques\NtUser.dat.LOG
2008-04-17 18:49 . 2008-04-17 18:50 <REP> d-------- C:\Documents and Settings\TEMP\Application Data\SoftPerfect Personal Firewall
2008-04-17 18:49 . 2008-04-17 18:49 <REP> d-------- C:\Documents and Settings\TEMP\Application Data\HP
2008-04-17 18:49 . 2008-04-17 18:49 <REP> d-------- C:\Documents and Settings\TEMP\Application Data\Dossier de t‚l‚chargement Share-to-Web
2008-04-17 18:48 . 2006-03-25 04:34 <REP> d--h----- C:\Documents and Settings\TEMP\Voisinage r‚seau
2008-04-17 18:48 . 2006-03-25 04:34 <REP> d--h----- C:\Documents and Settings\TEMP\Voisinage d'impression
2008-04-17 18:48 . 2006-03-25 03:39 <REP> d--h----- C:\Documents and Settings\TEMP\ModŠles
2008-04-17 18:48 . 2006-03-25 04:34 <REP> dr------- C:\Documents and Settings\TEMP\Menu D‚marrer
2008-04-17 18:48 . 2008-04-17 18:48 <REP> dr------- C:\Documents and Settings\TEMP\Favoris
2008-04-17 18:48 . 2008-04-17 19:03 <REP> d-------- C:\Documents and Settings\TEMP
2008-04-17 18:48 . 2008-05-04 12:42 1,024 --ah----- C:\Documents and Settings\TEMP\NtUser.dat.LOG
2008-04-16 17:17 . 2008-04-16 17:17 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-16 17:17 . 2008-04-16 17:17 2,546 --a------ C:\WINDOWS\unins000.dat
2008-04-14 13:11 . 2008-04-15 09:20 <REP> d-------- C:\Program Files\DAEMON Tools Lite
2008-04-14 12:40 . 2008-04-14 12:40 <REP> d-------- C:\Documents and Settings\Yannick\Application Data\DAEMON Tools
2008-04-14 12:23 . 2008-04-14 12:23 <REP> d-------- C:\Program Files\CCleaner
2008-04-14 09:12 . <REP> C:\Documents and Settings\Administrateur.JAKO\Application Data\Dossier de t‚l‚chargement Share-to-Web
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-04 10:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-05-04 10:26 --------- d-----w C:\Program Files\eMule
2008-05-03 17:55 --------- d-----w C:\Program Files\Steam
2008-05-01 10:22 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-05-01 10:00 --------- d-----w C:\Program Files\Google
2008-04-30 15:37 --------- d-----w C:\Documents and Settings\Yannick\Application Data\HP
2008-04-29 16:33 --------- d-----w C:\Program Files\MSN Messenger
2008-04-23 18:07 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Dossier de téléchargement Share-to-Web
2008-04-17 16:52 --------- d-----w C:\Documents and Settings\Jacques\Application Data\Dossier de téléchargement Share-to-Web
2008-04-17 16:49 --------- d-----w C:\Documents and Settings\TEMP\Application Data\Dossier de téléchargement Share-to-Web
2008-04-16 15:21 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-04-14 14:18 --------- d-----w C:\Program Files\Gpotato.eu
2008-04-14 10:52 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-14 10:40 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-04-14 10:31 --------- d-----w C:\Program Files\Dreamcatcher
2008-04-14 07:12 --------- d-----w C:\Documents and Settings\Administrateur.JAKO\Application Data\Dossier de téléchargement Share-to-Web
2008-04-13 17:31 --------- d-----w C:\Documents and Settings\planke\Application Data\AdobeUM
2008-04-12 11:08 --------- d-----w C:\Program Files\THQ
2008-03-24 12:07 --------- d-----w C:\Documents and Settings\planke\Application Data\HP
2008-03-21 17:30 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-21 17:30 22,328 ----a-w C:\Documents and Settings\Yannick\Application Data\PnkBstrK.sys
2008-03-21 17:30 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-21 17:29 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-03-21 17:19 --------- d-----w C:\Program Files\Activision
2008-03-12 12:04 --------- d-----w C:\Documents and Settings\Yannick\Application Data\AdobeUM
2008-03-01 12:58 817,152 ----a-w C:\WINDOWS\system32\wininet.dll
2007-04-22 11:23 92 ----a-w C:\Program Files\status.log
2006-05-27 08:31 572,848,791 ----a-w C:\Program Files\Battlefield_2_Demo.exe
2006-05-27 08:17 11,817,800 ----a-w C:\Program Files\google-earth_google_earth_3.0.0762_beta_anglais_14783.exe
2006-05-11 16:08 0 ---ha-w C:\Program Files\hpothb07.tif
2006-05-11 16:08 0 ---ha-w C:\Program Files\hpothb07.dat
2006-04-30 16:41 20,522 ---ha-w C:\Program Files\keys.dat
2006-04-30 16:41 1,580 ---ha-w C:\Program Files\preferences.txt
2004-10-04 08:45 138 ---ha-w C:\Program Files\version.inf
2002-04-26 09:56 103 ---ha-w C:\Program Files\regstr.cfg
2002-04-25 08:51 6,709,315 ---ha-w C:\Program Files\drs832.dll
2002-04-23 10:33 3,334,185 ---ha-w C:\Program Files\readiris.exe
2002-04-16 13:26 81,987 ---ha-w C:\Program Files\Twaino38.d32
2002-04-15 10:35 905,216 ---ha-w C:\Program Files\fmtcp8.dll
2002-01-30 08:34 651,264 ---ha-w C:\Program Files\regstr.dll
2002-01-22 10:42 822,288 ---ha-w C:\Program Files\english.jpg
2002-01-21 08:52 24,576 ---ha-w C:\Program Files\read70ps.dll
2001-11-30 14:20 348,160 ---ha-w C:\Program Files\fmtpdf.dll
2001-11-21 09:51 40,960 ---ha-w C:\Program Files\REGRI50.EXE
2001-10-25 15:24 406,016 ---ha-w C:\Program Files\readme.doc
2001-10-02 09:12 45,444 ---ha-w C:\Program Files\matrix.tif
2001-10-02 09:10 922,746 ---ha-w C:\Program Files\table.jpg
2001-10-02 08:17 49,152 ---ha-w C:\Program Files\Msgfrn.r32
2001-10-01 12:45 208,028 ---ha-w C:\Program Files\readiris.chm
2001-09-07 13:56 2,162,793 ---ha-w C:\Program Files\readiris.pdf
2001-06-22 12:55 36,060 ---ha-w C:\Program Files\lite.tif
2001-06-22 12:53 381,474 ---ha-w C:\Program Files\deskew.jpg
2001-06-22 12:53 155,372 ---ha-w C:\Program Files\digital.jpg
2001-06-13 13:52 1,198,048 ---ha-w C:\Program Files\autoform.jpg
2001-06-13 13:50 44,868 ---ha-w C:\Program Files\alphabet.tif
2001-06-08 08:07 831,507 ---ha-w C:\Program Files\frn.ytr
2001-05-11 08:14 86,077 ---ha-w C:\Program Files\hpscl.d32
2001-01-29 14:21 1,062,592 ---ha-w C:\Program Files\eng.ytr
2000-12-06 12:14 19,841 ---ha-w C:\Program Files\nop.ytr
2000-08-14 11:54 152,064 ---ha-w C:\Program Files\lftif11n.dll
2000-07-24 08:41 285,184 ---ha-w C:\Program Files\LFCMP11n.DLL
2000-07-17 07:00 392,192 ---ha-w C:\Program Files\ltkrn11n.dll
2000-06-07 10:30 262,656 ---ha-w C:\Program Files\LTDIS11n.dll
2000-04-19 14:07 2 ---ha-w C:\Program Files\ara.ytr
2000-04-19 13:35 33,280 ---ha-w C:\Program Files\LFPCX11N.DLL
2000-04-19 13:34 41,472 ---ha-w C:\Program Files\lfgif11n.dll
2000-04-19 13:33 81,408 ---ha-w C:\Program Files\lffax11n.dll
2000-04-19 13:33 36,864 ---ha-w C:\Program Files\lfbmp11n.dll
2000-04-19 13:29 118,784 ---ha-w C:\Program Files\ltfil11n.DLL
2000-02-28 12:36 228,732 ---ha-w C:\Program Files\multipag.tif
2000-02-04 07:52 566,694 ---ha-w C:\Program Files\brt.ytr
1999-12-16 10:43 247,088 ---ha-w C:\Program Files\arabic.tif
1999-12-16 10:02 389,120 ---ha-w C:\Program Files\OPAOCR32.DLL
1999-11-04 10:02 127,488 ---ha-w C:\Program Files\LTIMG11N.DLL
1999-11-04 09:03 32,256 ---ha-w C:\Program Files\lfxwd11N.dll
1999-09-24 08:35 2 ---ha-w C:\Program Files\NUM.YTR
1999-04-20 13:43 19,456 ---ha-w C:\Program Files\noscan32.d32
1998-06-16 18:51 128,000 ---ha-w C:\Program Files\OPAPARSE.DLL
1997-08-18 15:06 1,163,264 ---ha-w C:\Program Files\RTK.DLL
1997-07-25 03:51 4,921,904 ---ha-w C:\Program Files\RTK.DB
1993-01-09 16:53 325,658 ---ha-w C:\Program Files\GENERAL.DCT
2004-10-31 12:00 60,416 --sha-w C:\WINDOWS\BricoPacks\SysFiles\80_msimn.exe
.
------- Sigcheck -------
2004-09-29 20:47 660992 61cdcab341ade3482101da90fcc793ac C:\WINDOWS\$hf_mig$\KB834707\SP2QFE\wininet.dll
2006-03-04 06:00 667648 241dbc4c2714b2f39afded49459ed420 C:\WINDOWS\$hf_mig$\KB912812\SP2QFE\wininet.dll
2006-05-10 07:26 667648 44fcc339191adb8892520dfa473c455f C:\WINDOWS\$hf_mig$\KB916281\SP2QFE\wininet.dll
2006-06-23 13:25 668672 582953780721ac5d38f98cab229ec7b9 C:\WINDOWS\$hf_mig$\KB918899\SP2QFE\wininet.dll
2006-10-23 17:34 668672 efa0c2870cba1747809a13e09f35bf82 C:\WINDOWS\$hf_mig$\KB925454\SP2QFE\wininet.dll
2007-06-26 16:36 669696 19058fbdc72f7bae085369c6d0a7d074 C:\WINDOWS\$hf_mig$\KB937143\SP2QFE\wininet.dll
2007-08-22 14:57 669696 4f6a45b54d26708e2c2bf2c43d83edea C:\WINDOWS\$hf_mig$\KB939653\SP2QFE\wininet.dll
2007-10-11 01:22 825344 871ae10d6ae8877e9636ae5017953d52 C:\WINDOWS\$hf_mig$\KB942615-IE7\SP2QFE\wininet.dll
2007-12-07 03:42 825344 f4fd487241d3ac291046a22cebd2cf71 C:\WINDOWS\$hf_mig$\KB944533-IE7\SP2QFE\wininet.dll
2008-03-01 14:34 827392 5a0093f59b505c008ed0cee615563c72 C:\WINDOWS\$hf_mig$\KB947864-IE7\SP2QFE\wininet.dll
2004-10-31 14:00 660992 a1f5b2fc31ef3986bca19f72dde0b922 C:\WINDOWS\$NtUninstallKB912812$\wininet.dll
2006-03-04 05:35 662528 19e1a21f21bc938a92ee8be630994493 C:\WINDOWS\$NtUninstallKB916281$\wininet.dll
2006-05-10 07:24 662528 343fabbf09312842816e92947aacf73a C:\WINDOWS\$NtUninstallKB918899$\wininet.dll
2006-06-23 13:11 663040 4f343f414f05e81cf61b1001634fc6b7 C:\WINDOWS\$NtUninstallKB925454$\wininet.dll
2006-10-23 17:18 663040 6091fee2b68974683d52119a98be3564 C:\WINDOWS\$NtUninstallKB937143$\wininet.dll
2007-06-26 16:12 663040 889269134af28b2142f47a337ca3a1cd C:\WINDOWS\$NtUninstallKB939653$\wininet.dll
2007-08-22 15:13 663040 18048557aa56de4b1955fdf7a21f9b24 C:\WINDOWS\ie7\wininet.dll
2007-08-13 18:54 818688 a4a0fc92358f39538a6494c42ef99fe9 C:\WINDOWS\ie7updates\KB942615-IE7\wininet.dll
2007-10-11 01:49 824832 bc5119c53bdd48dabc628d448a3bdccb C:\WINDOWS\ie7updates\KB944533-IE7\wininet.dll
2007-12-07 04:08 824832 4fc90bece54fac81b0090b94e27bfb6b C:\WINDOWS\ie7updates\KB947864-IE7\wininet.dll
2008-03-01 14:58 817152 082ca0b6fee9e708c3894a248aef944f C:\WINDOWS\system32\wininet.dll
2008-03-01 14:58 817152 082ca0b6fee9e708c3894a248aef944f C:\WINDOWS\system32\dllcache\wininet.dll
2004-08-14 00:50 359040 4092c56967175f009dc8458dc434358e C:\WINDOWS\$NtUninstallKB913446$\tcpip.sys
2006-01-13 19:07 360448 5562cc0a47b2aef06d3417b733f3c195 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 14:18 360576 c7be59b07c6eb74bea6fd67c1b164015 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-04-20 14:18 360576 c7be59b07c6eb74bea6fd67c1b164015 C:\WINDOWS\system32\drivers\tcpip.sys
2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-10-31 14:00 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:22 979456 80a5400514eb32d393654768c4017e46 C:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{08B38546-8A8A-4351-931B-BC138610143D}]
C:\WINDOWS\system32\vtUonmMd.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [ ]
"DeskSpace"="C:\Program Files\DeskSpace\deskspace.exe" [2007-10-24 12:22 1150976]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-10-31 14:00 15360]
"efijztno"="C:\WINDOWS\system32\rovwxetc.exe" [ ]
"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 16:57 5308416]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ULiRaid"="C:\Program Files\ULi5287\ULi5287.exe" [2005-08-23 21:59 409600]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 12:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"Share-to-Web Namespace Daemon"="C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 04:19 69632]
"SoftPerfect Personal Firewall"="C:\Program Files\SoftPerfect Personal Firewall\fw.exe" [2005-07-15 01:30 1328128]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe" [2006-05-03 02:56 36975]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [ ]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-07-15 12:01 286720]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-10-10 07:28 36352]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-11 06:03 8429568]
"nwiz"="nwiz.exe" [2007-05-11 06:03 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-05-11 06:03 81920]
"ISUSPM Startup"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"34033c70"="C:\WINDOWS\system32\lmvbugqt.dll" [ ]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMcBrPG]
qoMcBrPG.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"VIDC.VP40"= vp4vfw.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\DAP\\DAP.exe"=
"C:\\Program Files\\GameSpy Arcade\\Aphex.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"C:\\Program Files\\Sierra\\Homeworld2\\Bin\\Release\\Homeworld2.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programmes\\Activision\\Rome - Total War\\RomeTW.exe"=
"C:\\Program Files\\Wanadoo\\Kohan Battles of Ahriman\\_AG.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\game.dat"=
"C:\\Program Files\\Electronic Arts\\La Bataille pour la Terre du Milieu II\\patchget.dat"=
"C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"C:\\Program Files\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"C:\\Program Files\\GUILD WARS\\Gw.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Microsoft Games\\Age of Mythology\\aom.exe"=
"C:\\Program Files\\Steam\\SteamApps\\hasanko\\day of defeat source\\hl2.exe"=
"C:\\Program Files\\Steam\\SteamApps\\hasanko\\counter-strike source\\hl2.exe"=
"C:\\Program Files\\Steam\\steam.exe"=
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\WINDOWS\\system32\\svchost.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Documents and Settings\\Yannick\\Mes documents\\COD 4\\ca4\\Setup\\Data\\iw3mp.exe"=
"C:\\Program Files\\Dreamcatcher\\Digital Reality\\Hegemonia\\Hgm.exe"=
"C:\\Program Files\\THQ\\Company of Heroes\\RelicCOH.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"10025:TCP"= 10025:TCP:*:Disabled:BitComet 10025 TCP
"10025:UDP"= 10025:UDP:*:Disabled:BitComet 10025 UDP
"44662:TCP"= 44662:TCP:emule
"44672:UDP"= 44672:UDP:emule
"4661:TCP"= 4661:TCP:emule
"4665:UDP"= 4665:UDP:emule
"4771:TCP"= 4771:TCP:emule
R0 m5287;m5287;C:\WINDOWS\system32\drivers\m5287.sys [2005-08-19 11:18]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-12-21 09:21]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 21:36]
S3 fbxusb;Carte réseau virtuelle FreeBox USB;C:\WINDOWS\system32\DRIVERS\fbxusb32.sys [2004-10-20 15:23]
S3 gUSBSTOi;gUSBSTOi;C:\DOCUME~1\Yannick\LOCALS~1\Temp\gUSBSTOi.sys []
S3 Navcar;Navman In-car Navigator USB Driver Service;C:\WINDOWS\system32\DRIVERS\Navcar.sys [2005-03-18 09:53]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\Autorun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Starter.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70cc9778-66b4-11dc-8e86-00138f7f4976}]
\Shell\AutoRun\command - I:\AutoRun.exe
.
Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
"2008-05-03 17:36:00 C:\WINDOWS\Tasks\HP Usg Daily FY04.job"
- C:\Program Files\Hewlett-Packard\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe
"2008-05-04 10:51:04 C:\WINDOWS\Tasks\RegCure Program Check.job"
- C:\Program Files\RegCure\RegCure.exe
"2008-05-02 16:00:04 C:\WINDOWS\Tasks\RegCure.job"
- C:\Program Files\RegCure\RegCure.exe
"2008-05-03 18:40:18 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe /AUTOCHECK /AUTOFIX /AUTOCLOSE
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 12:51:14
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 447
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-04 12:57:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-04 10:57:39
Pre-Run: 33,429,082,112 octets libres
Post-Run: 35,291,959,296 octets libres
373 --- E O F --- 2007-12-01 13:19:31
Ensuite MSNFix me donne ça:
MSNFix 1.639-2
C:\Documents and Settings\Yannick\Bureau\Fix\MSNFix
Fix exécuté le 04/05/2008 - 12:59:13,56 By Yannick
mode normal
************************ Recherche les fichiers présents
... C:\WINDOWS\system32\vbsys2.dll
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\system32\vbsys2.dll
************************ Nettoyage du registre
************************ Fichiers suspects
/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention
[C:\Install_MSN_Messenger.EXE] 03673A325D7384643BBAA9F51ADD5851
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 04052008_13001001.zip
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
Et enfin le nouveau rapport avec hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:01:26, on 04/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\SoftPerfect Personal Firewall\fw.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08B38546-8A8A-4351-931B-BC138610143D} - C:\WINDOWS\system32\vtUonmMd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Program Files\SoftPerfect Personal Firewall\fw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [34033c70] rundll32.exe "C:\WINDOWS\system32\lmvbugqt.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [DeskSpace] C:\Program Files\DeskSpace\deskspace.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [efijztno] C:\WINDOWS\system32\rovwxetc.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O20 - Winlogon Notify: qoMcBrPG - qoMcBrPG.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
--
End of file - 9234 bytes
Voilà.
Merci encore de votre attention.
-->Message édité par Arva le 04/05/2008 13:06:59<--
|
|
Imagine ...
|
|
|
Arva
Télécharge OTMoveIt1 (de Old_Timer) sur ton bureau...
----------
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O2 - BHO: (no name) - {08B38546-8A8A-4351-931B-BC138610143D} - C:\WINDOWS\system32\vtUonmMd.dll (file missing)
O4 - HKLM\..\Run: [34033c70] rundll32.exe "C:\WINDOWS\system32\lmvbugqt.dll",b
O4 - HKCU\..\Run: [efijztno] C:\WINDOWS\system32\rovwxetc.exe
O20 - Winlogon Notify: qoMcBrPG - qoMcBrPG.dll (file missing)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Double-clique sur OTMoveIt.exe pour le lancer.
Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!
Copie le texte qui se trouve dans la citation, ci-dessous, et colle-le dans le cadre
de gauche de OTMoveIt nommé Paste Standard List of Files/Folders to move.
C:\WINDOWS\system32\lmvbugqt.dll
C:\WINDOWS\system32\rovwxetc.exe
Clique sur MoveIt! pour lancer la suppression.
Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.
Copie-colle le rapport dans ta réponse :
Il est situé sur --> C:\_OTMoveIt\MovedFiles.
Il te sera peut-être demandé de redémarrer le PC pour achever la suppression.
Si c'est le cas, attends la fin de la procédure pour redémarrer.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
Poste le rapport OTMoveIt et un nouveau HijackThis, stp .
----------
Mets Java à jour :
Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)
Après installation et redémarrage (tjrs si elle n' est pas à jour), va dans Panneau de configuration > Ajout/Suppres… des programmes afin de désinstaller l'ancienne version, pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo http://www.filehippo.com/download_java_runtime
http://www.malekal.com/update_JAVA_Flash.php
-->Message édité par kmisol le 04/05/2008 17:06:59<--
|
|
|
|
|
Pour OTMoveIt:
File/Folder C:\WINDOWS\system32\lmvbugqt.dll not found.
File/Folder C:\WINDOWS\system32\rovwxetc.exe not found.
OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05042008_175648
Voilà le nouveau rapport de hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:46, on 04/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ULi5287\ULi5287.exe
C:\Program Files\SoftPerfect Personal Firewall\fw.exe
C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Java\jre1.5.0_07\bin\jucheck.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.free.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ULiRaid] C:\Program Files\ULi5287\ULi5287.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Program Files\SoftPerfect Personal Firewall\fw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [DeskSpace] C:\Program Files\DeskSpace\deskspace.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
--
End of file - 8565 bytes
-->Message édité par Arva le 04/05/2008 18:05:54<--
|
|
Imagine ...
|
|
|
...
Le rapport est 
As-tu tjrs la présence du trojan ?
|
|
|
|
|
Apparement non, quand je reboot j'ai pu le message d'erreur du RUNDLL, et je n'ai plus l'autre avec les problème sécurité windows non plus ^^.
MERCI BEAUCOUP pour votre aide!
Continuez ainsi vous faites du bon boulot!
Cordialement, Arva.
|
|
Imagine ...
|
|
|
...
Télécharge ToolsCleaner sur ton bureau.
Clique sur Recherche et laisse le scan agir ...
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter pour obtenir le rapport.
Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
******
Puis, si tu estimes que ton problème est réglé,
replaces-toi sur ton 1er message et clique sur  .
Une fois dans le message, inscris (copies-colles) en titre …
Infecté par TrojanDownloader.XS [résolu]
… et clique sur > Poster ce message.
******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html
|
|
|
|
|
Voilà le rapport:
-->- Recherche:
C:\SDFIX: trouvé !
C:\FixWareOut: trouvé !
C:\Vundofix backups: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Yannick\Bureau\Fix\MsnFix: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\SdFix.exe: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\HijackThis.lnk: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\FixWareout.exe: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\OtMoveIt2.exe: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\ComboFix.exe: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\vundoFix.exe: trouvé !
C:\Documents and Settings\Yannick\Mes documents\Fix\GenProc: trouvé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
---------------------------------
-->- Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\SdFix.exe: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\HijackThis.lnk: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\FixWareout.exe: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\OtMoveIt2.exe: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\ComboFix.exe: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\vundoFix.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFIX: supprimé !
C:\FixWareOut: supprimé !
C:\Vundofix backups: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Yannick\Bureau\Fix\MsnFix: supprimé !
C:\Documents and Settings\Yannick\Mes documents\Fix\GenProc: supprimé !
C:\Program Files\Mozilla Firefox\SmitFraudfix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Merci encore de m'avoir accordé un peu (beaucoup) de votre temps.
J'EDIT mon premier post de suite.
Bien à vous, Arva.
|
|
Imagine ...
|
|
|
...
![[:wildbof:9]](/data/globaldata/usmilies/wildbof-9.gif "[:wildbof:9]") ...
Bon surf
|
|
|
|
|
|
bonjour j'ai aussi le même problème mais je suis sous VISTA peut tu me venir en aide
|
|
Modérateur/Helper
|
|
|
Bonsoir,
EDITION MODERATEUR : Règle du forum à respecter :
Crée toi ton propre sujet ! 
Veuillez lire l'article suivant :
| | |
![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]")
… et poste ![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]")