|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour, voilà a peu près deux jours que j'ai un problème de pop up intempestif. Dès que j'ouvre une page, une autre page de pub s'ouvre en même temps, que ce soit avec mozilla ou internet explorer. Avast ne me détecte plus rien, je ne sais plus quoi faire. Merci d'avance pour votre aide.
-->Message édité par Dunghan le 17/07/2008 15:36:37<--
|
|
|
|
|
Salut Dunghan
On va regarder cela de près :
Télécharge Hijackthis V 2.02 sur le bureau :
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
- Double clique sur HJTInstall.exe sur le bureau
- Clique sur Install ensuite sur I Accept
- fermer toutes les fenêtres, HJT doit être exécuté seul (tout autre programme fermé).
- lancer HJT et clic sur Do a system scan and save a logfile
- une fenêtre Notepad s'ouvre : (Ctrl-A) pour sélectionner tout le texte, (Ctrl-C) pour le copier dans le presse papier.
- mettre le texte dans un post ci-dessous (Ctrl-V) pour analyse
@++
|
|
|
|
|
Coucou, voilà c'est fait, voici le rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:59, on 17/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [d88541de] rundll32.exe "C:\WINDOWS\system32\lphgyinq.dll",b
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BMdbb67242] Rundll32.exe "C:\WINDOWS\system32\ktcfgdyi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4481 bytes
|
|
|
|
|
Salut Dunghan
Rends toi dans le dossier C:\Program Files\Trend Micro\ HijackThis < == ce dossier
Faire un clique droit sur HijackThis.exe et le renommé en scan.exe
Refais un scan avec HijackThis modifié et poste le rapport
@++
|
|
|
|
|
Voilà ce que j'ai après modification :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:13:14, on 17/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {219873B0-27B4-433C-9049-A2E6D58BF18B} - C:\WINDOWS\system32\nnnoOfFV.dll
O2 - BHO: {1adfd540-77d5-8b7a-3f74-82534df9d2d7} - {7d2d9fd4-3528-47f3-a7b8-5d77045dfda1} - C:\WINDOWS\system32\bggbur.dll
O2 - BHO: (no name) - {82336A8D-6CD0-4647-B791-75FCA8CF2B39} - C:\WINDOWS\system32\byXPIyYO.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [d88541de] rundll32.exe "C:\WINDOWS\system32\lphgyinq.dll",b
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BMdbb67242] Rundll32.exe "C:\WINDOWS\system32\ktcfgdyi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O20 - Winlogon Notify: byXPIyYO - byXPIyYO.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5144 bytes
|
|
|
|
|
Salut Dunghan
Télécharge VundoFix.exe (par Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
Double-clique sur VundoFix.exe afin de le lancer
--Clique sur le bouton Scan for Vundo
--Lorsque le scan est complété, clique sur le bouton Remove Vundo
--Une invite te demandera si tu veux supprimer les fichiers, clique YES
--Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
--Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
--Copie/colle le contenu du rapport situé dans C:\vundofix.txt.
Note : Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci haut, à partir de "clique sur le bouton Scan for Vundo"
------------
Télécharge VirtumundoBegone sur le bureau:
http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe
Double clique sur VirtumundoBeGone.exe et suis les instructions.
Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse.
Note : Ne t'inquiète pas si tu vois un message Écran bleu "Erreur fatale", c'est normal et attendu.
- Au final, tu as deux rapports à poster avec un nouveau rapport HijackThis
@++
|
|
|
|
|
|
Le scan avec VundoFix n'a rien donné, je n'ai pas de bouton Remove Mundo come indiqué dans la procédure, j'ai juste un truc écrit "Removing vundo..." en bas a gauche du grand encadré blanc, j'attends ou je passa au deuxième scan ?
|
|
|
|
|
Salut Dunghan
Faire la procédure au complet et poste les rapports
@++
|
|
|
|
|
Voila, j'ai suivi la procédure.
Pour VundoFix, ça donne :
VundoFix V7.0.6
Scan started at 12:24:15 17/07/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
VundoFix V7.0.6
Scan started at 12:51:34 17/07/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Pour le rapport VBG :
[07/17/2008, 13:01:39] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Matthieu\Bureau\VirtumundoBeGone.exe" )
[07/17/2008, 13:02:02] - Detected System Information:
[07/17/2008, 13:02:02] - Windows Version: 5.1.2600, Service Pack 2
[07/17/2008, 13:02:03] - Current Username: Matthieu (Admin)
[07/17/2008, 13:02:03] - Windows is in NORMAL mode.
[07/17/2008, 13:02:03] - Searching for Browser Helper Objects:
[07/17/2008, 13:02:03] - BHO 1: {219873B0-27B4-433C-9049-A2E6D58BF18B} ()
[07/17/2008, 13:02:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:03] - Checking for HKLM\...\Winlogon\Notify\nnnoOfFV
[07/17/2008, 13:02:03] - Key not found: HKLM\...\Winlogon\Notify\nnnoOfFV, continuing.
[07/17/2008, 13:02:03] - BHO 2: {7d2d9fd4-3528-47f3-a7b8-5d77045dfda1} ()
[07/17/2008, 13:02:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:03] - Checking for HKLM\...\Winlogon\Notify\bggbur
[07/17/2008, 13:02:03] - Key not found: HKLM\...\Winlogon\Notify\bggbur, continuing.
[07/17/2008, 13:02:03] - BHO 3: {82336A8D-6CD0-4647-B791-75FCA8CF2B39} ()
[07/17/2008, 13:02:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:03] - Checking for HKLM\...\Winlogon\Notify\byXPIyYO
[07/17/2008, 13:02:03] - Found: HKLM\...\Winlogon\Notify\byXPIyYO - This is probably Virtumundo.
[07/17/2008, 13:02:03] - Assigning {82336A8D-6CD0-4647-B791-75FCA8CF2B39} MSEvents Object
[07/17/2008, 13:02:03] - BHO list has been changed! Starting over...
[07/17/2008, 13:02:03] - BHO 1: {219873B0-27B4-433C-9049-A2E6D58BF18B} ()
[07/17/2008, 13:02:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:03] - Checking for HKLM\...\Winlogon\Notify\nnnoOfFV
[07/17/2008, 13:02:03] - Key not found: HKLM\...\Winlogon\Notify\nnnoOfFV, continuing.
[07/17/2008, 13:02:03] - BHO 2: {7d2d9fd4-3528-47f3-a7b8-5d77045dfda1} ()
[07/17/2008, 13:02:03] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:03] - Checking for HKLM\...\Winlogon\Notify\bggbur
[07/17/2008, 13:02:03] - Key not found: HKLM\...\Winlogon\Notify\bggbur, continuing.
[07/17/2008, 13:02:03] - BHO 3: {82336A8D-6CD0-4647-B791-75FCA8CF2B39} (MSEvents Object)
[07/17/2008, 13:02:03] - ALERT: Found MSEvents Object!
[07/17/2008, 13:02:03] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/17/2008, 13:02:03] - BHO 5: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/17/2008, 13:02:03] - Finished Searching Browser Helper Objects
[07/17/2008, 13:02:03] - *** Detected MSEvents Object
[07/17/2008, 13:02:03] - Trying to remove MSEvents Object...
[07/17/2008, 13:02:04] - Terminating Process: IEXPLORE.EXE
[07/17/2008, 13:02:05] - Terminating Process: RUNDLL32.EXE
[07/17/2008, 13:02:05] - Disabling Automatic Shell Restart
[07/17/2008, 13:02:05] - Terminating Process: EXPLORER.EXE
[07/17/2008, 13:02:06] - Suspending the NT Session Manager System Service
[07/17/2008, 13:02:06] - Terminating Windows NT Logon/Logoff Manager
[07/17/2008, 13:02:06] - Re-enabling Automatic Shell Restart
[07/17/2008, 13:02:06] - File to disable: C:\WINDOWS\system32\byXPIyYO.dll
[07/17/2008, 13:02:06] - Removing HKLM\...\Browser Helper Objects\{82336A8D-6CD0-4647-B791-75FCA8CF2B39}
[07/17/2008, 13:02:06] - Removing HKCR\CLSID\{82336A8D-6CD0-4647-B791-75FCA8CF2B39}
[07/17/2008, 13:02:07] - Adding Kill Bit for ActiveX for GUID: {82336A8D-6CD0-4647-B791-75FCA8CF2B39}
[07/17/2008, 13:02:07] - Deleting ATLEvents/MSEvents Registry entries
[07/17/2008, 13:02:07] - Removing HKLM\...\Winlogon\Notify\byXPIyYO
[07/17/2008, 13:02:07] - Searching for Browser Helper Objects:
[07/17/2008, 13:02:07] - BHO 1: {219873B0-27B4-433C-9049-A2E6D58BF18B} ()
[07/17/2008, 13:02:07] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:07] - Checking for HKLM\...\Winlogon\Notify\nnnoOfFV
[07/17/2008, 13:02:07] - Key not found: HKLM\...\Winlogon\Notify\nnnoOfFV, continuing.
[07/17/2008, 13:02:07] - BHO 2: {7d2d9fd4-3528-47f3-a7b8-5d77045dfda1} ()
[07/17/2008, 13:02:07] - WARNING: BHO has no default name. Checking for Winlogon reference.
[07/17/2008, 13:02:07] - Checking for HKLM\...\Winlogon\Notify\bggbur
[07/17/2008, 13:02:07] - Key not found: HKLM\...\Winlogon\Notify\bggbur, continuing.
[07/17/2008, 13:02:07] - BHO 3: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)
[07/17/2008, 13:02:07] - BHO 4: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} (Google Toolbar Notifier BHO)
[07/17/2008, 13:02:07] - Finished Searching Browser Helper Objects
[07/17/2008, 13:02:07] - Finishing up...
[07/17/2008, 13:02:07] - A restart is needed.
[07/17/2008, 13:02:18] - Attempting to Restart via STOP error (Blue Screen!)
Et pour le nouveau HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:15, on 17/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {7CA1BE49-D0A6-495D-8578-6BFEB06E828F} - C:\WINDOWS\system32\nnnoOfFV.dll
O2 - BHO: {1adfd540-77d5-8b7a-3f74-82534df9d2d7} - {7d2d9fd4-3528-47f3-a7b8-5d77045dfda1} - C:\WINDOWS\system32\bggbur.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [d88541de] rundll32.exe "C:\WINDOWS\system32\lphgyinq.dll",b
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [BMdbb67242] Rundll32.exe "C:\WINDOWS\system32\ktcfgdyi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v2\WG111v2.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4976 bytes
Voilou, @++
|
|
|
|
|
Salut Dunghan
Télécharge combofix.exe (de sUBs) sur le bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Double clique combofix.exe tape 1 valide par Entrée pour lancer le scan
Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif
N'en tiens pas compte continue la procédure
@++
|
|
|
|
|
Voici le rapport de ComboFix :
ComboFix 08-07-15.4 - Matthieu 2008-07-17 13:40:14.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.641 [GMT 2:00]
Endroit: C:\Documents and Settings\Matthieu\Bureau\ComboFix.exe
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BMdbb67242.txt
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bggbur.dll
C:\WINDOWS\system32\gsjtnyyu.dll
C:\WINDOWS\system32\keopbpys.dll
C:\WINDOWS\system32\krpimy.dll
C:\WINDOWS\system32\ktcfgdyi.dll
C:\WINDOWS\system32\ljsjenll.ini
C:\WINDOWS\system32\lphgyinq.dll
C:\WINDOWS\system32\lsfmwklv.dll
C:\WINDOWS\system32\nityvfyd.ini
C:\WINDOWS\system32\nnnoOfFV.dll
C:\WINDOWS\system32\pxdcjfux.dll
C:\WINDOWS\system32\qniyghpl.ini
C:\WINDOWS\system32\rftasjgx.dll
C:\WINDOWS\system32\tjxfnplj.ini
C:\WINDOWS\system32\VFfOonnn.ini
C:\WINDOWS\system32\VFfOonnn.ini2
C:\WINDOWS\system32\wsoqsl.dll
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-17 to 2008-07-17 ))))))))))))))))))))))))))))))))))))
.
2008-07-17 12:24 . 2008-07-17 12:24 <REP> d-------- C:\VundoFix Backups
2008-07-17 12:00 . 2008-07-17 12:00 <REP> d-------- C:\Program Files\Trend Micro
2008-07-17 01:15 . 2008-07-17 01:15 <REP> d-------- C:\Documents and Settings\Matthieu\Application Data\DivX
2008-07-17 01:09 . 2008-07-17 01:09 <REP> d-------- C:\Documents and Settings\Matthieu\Application Data\Talkback
2008-07-17 01:08 . 2008-07-17 01:08 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-17 00:28 . 2008-07-17 01:00 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-17 00:17 . 2008-07-17 01:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-07-11 19:29 . 2008-07-17 13:37 110,475 --a------ C:\WINDOWS\BMdbb67242.xml
2008-06-23 16:41 . 2007-06-28 18:43 17,254 --a------ C:\WINDOWS\system32\nvwsapps.xml
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 22:24 --------- d-----w C:\Program Files\Google
2008-07-16 18:32 --------- d-----w C:\Program Files\World of Warcraft
2008-06-04 19:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-08 22:06 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:10 1667584]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-15 20:09 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-09-09 01:05 283888]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-07-17 00:18 29744]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"PCTVOICE"="pctspk.exe" [2004-01-29 11:33 180224 C:\WINDOWS\system32\pctspk.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2008-07-17 00:18]
S3 PciCon;PciCon;D:\PciCon.sys []
.
- - - - ORPHANS REMOVED - - - -
HKLM-Run-d88541de - C:\WINDOWS\system32\lphgyinq.dll
HKLM-Run-BMdbb67242 - C:\WINDOWS\system32\ktcfgdyi.dll
ShellExecuteHooks-{82336A8D-6CD0-4647-B791-75FCA8CF2B39} - (no file)
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 13:44:09
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cach‚s ...
Balayage cach‚ autostart entries ...
Balayage des fichiers cach‚s ...
Scan termin‚ avec succŠs
Les fichiers cach‚s: 0
**************************************************************************
.
--------------------- DLLs a charg‚ sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-07-17 13:45:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-17 11:45:26
Pre-Run: 122,082,578,432 octets libres
Post-Run: 122,247,008,256 octets libres
114
D'autre part, j'ai eu un affichage de 2 fenêtres portant le nom de RUDLL m'indiquant une erreur de chargement de 2 fichiers :
- C:\WINDOWS\system32\lphgyinq.dll
- C:\WINDOWS\system32\ktcfgdyi.dll
C'est grave docteur ?
@+
|
|
|
|
|
Salut Dunghan
- Clique sur le menu démarrer/Exécuter, tape notepad à l’invite de commande et OK.
- Copie/colle ce qui est en citation ci-dessous dans le Bloc-Notes :
File::
C:\WINDOWS\BMdbb67242.xml
- Enregistre ce fichier sur le bureau (Impératif)
-Nom du fichier : CFScript.txt
-Type du fichier : tous les fichiers
- Clique sur Enregistrer et quitte le Bloc Notes
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe sur le bureau, comme sur cette capture :
* Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort), tape 1 puis valide.
* Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Avec ce rapport, poste moi un nouveau rapport HijackThis
@++
|
|
|
|
|
Voila pour ComboFix :
ComboFix 08-07-15.4 - Matthieu 2008-07-17 14:03:57.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.718 [GMT 2:00]
Endroit: C:\Documents and Settings\Matthieu\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\Matthieu\Bureau\CFScript.txt
* Création d'un nouveau point de restauration
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
FILE ::
C:\WINDOWS\BMdbb67242.xml
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\BMdbb67242.xml
.
((((((((((((((((((((((((((((( Fichiers créés 2008-06-17 to 2008-07-17 ))))))))))))))))))))))))))))))))))))
.
2008-07-17 12:24 . 2008-07-17 12:24 <REP> d-------- C:\VundoFix Backups
2008-07-17 12:00 . 2008-07-17 12:00 <REP> d-------- C:\Program Files\Trend Micro
2008-07-17 01:15 . 2008-07-17 01:15 <REP> d-------- C:\Documents and Settings\Matthieu\Application Data\DivX
2008-07-17 01:09 . 2008-07-17 01:09 <REP> d-------- C:\Documents and Settings\Matthieu\Application Data\Talkback
2008-07-17 01:08 . 2008-07-17 01:08 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-17 00:28 . 2008-07-17 01:00 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-17 00:17 . 2008-07-17 01:17 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Google Updater
2008-06-23 16:41 . 2007-06-28 18:43 17,254 --a------ C:\WINDOWS\system32\nvwsapps.xml
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 22:24 --------- d-----w C:\Program Files\Google
2008-07-16 18:32 --------- d-----w C:\Program Files\World of Warcraft
2008-06-04 19:00 --------- d-----w C:\Program Files\Fichiers communs\Adobe
2008-05-08 22:06 60,416 ----a-w C:\WINDOWS\ALCFDRTM.EXE
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:09 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-19 16:10 1667584]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-05-15 20:09 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 18:43 8466432]
"Autoconfigurateur WiFi Neuf"="C:\Program Files\Neuf\Kit\WiFi\9wifi.exe" [2007-09-09 01:05 283888]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-28 18:43 81920]
"Google Desktop Search"="C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" [2008-07-17 00:18 29744]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 10:42 90112 C:\WINDOWS\soundman.exe]
"nwiz"="nwiz.exe" [2007-06-28 18:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"PCTVOICE"="pctspk.exe" [2004-01-29 11:33 180224 C:\WINDOWS\system32\pctspk.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:09 15360]
C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2006-05-17 16:05:52 2297856]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-11-19 03:13]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 17:53]
S3 GoogleDesktopManager-022208-143751;Google Desktop Manager 5.7.802.22438;C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe [2008-07-17 00:18]
S3 PciCon;PciCon;D:\PciCon.sys []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-17 14:04:48
Windows 5.1.2600 Service Pack 2 NTFS
Balayage processus cachés ...
Balayage caché autostart entries ...
Balayage des fichiers cachés ...
Scan terminé avec succès
Les fichiers cachés: 0
**************************************************************************
.
--------------------- DLLs a chargé sous des processus courants ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
Temps d'accomplissement: 2008-07-17 14:05:14
ComboFix-quarantined-files.txt 2008-07-17 12:05:07
ComboFix2.txt 2008-07-17 11:45:33
Pre-Run: 122,236,792,832 octets libres
Post-Run: 122,230,296,576 octets libres
82
Et le nouveau HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:07:10, on 17/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\scan.exe.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Desktop Manager 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4498 bytes
Voilou a toute
|
|
|
|
|
Salut Dunghan
On va vérifier si rien de caché :
Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (A faire avec Internet Explorer)
- Désactive ton Antivirus durant le scan
- En bas à droite clique sur Démarrer Online-scanner dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
- Accepte les Contrôle ActivX
- Choisis Poste de travail pour le scan. Celui-ci terminé clique sur Enregistrer rapport sous (Choisis fichier texte)
- Poste le rapport
- Pour t'aider à utiliser le scan en ligne http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566
- Si tu as un probléme pour l'installation du Contrôle ActivX lis ceci http://www.inoculer.com/activex.php3
@++
|
|
|
|
|
Voila ce que ça donne :
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, July 17, 2008 3:20:33 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 17/07/2008
Enregistrements dans la base antivirus Kaspersky : 858632
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
Statistiques de l'analyse:
Total d'objets analysés: 31213
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:19:59
Nom de l'objet infecté / Nom du virus / Dernière action
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbc2e.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbdam L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbdao L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbeam L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbeao L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbm L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbu2d.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbvm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\dbvmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\fii.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\fiih.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\hp L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\hpt2i.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\rpm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\rpm1m.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\rpm1mh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\rpmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-black-enchashm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-black-enchashmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-black-urlm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-black-urlmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-malware-domainm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-malware-domainmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-white-domainm.cf1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Google\Google Desktop\5e8444be8c45\safeweb\goog-white-domainmh.ht1 L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Historique\History.IE5\MSHist012008071720080718\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Temp\~DFE787.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Matthieu\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log L'objet est verrouillé ignoré
C:\Program Files\Alwil Software\Avast4\DATA\report\Protection résidente.txt L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{80D6435C-7030-4335-831D-9A26E96F5EC1}\RP41\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Antivirus.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\Perflib_Perfdata_5b8.dat L'objet est verrouillé ignoré
C:\WINDOWS\Temp\_avast4_\Webshlock.txt L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
|
|
|
|
|
Salut Dunghan
Ton rapport est propre, on va faire un ménage des outils téléchargés, télécharge Tools Cleaner sur le bureau :
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe
http://www.commentcamarche.net/download/fichiers/ToolsCleaner2.exe
- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Je te donne quelques consignes de sécurité :
- Windows Update parfaitement à jour http://www.windowsupdate.com/ (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware
- un contôle régulier de la console JAVA pour s'assurer qu'elle est à jour http://www.java.com/en/download/help/testvm.xml
- un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
http://www.malekal.com/scan_vulnerabilite.php
Si tu considère ton problème comme résolu, édite ![[:jlj:3]](/data/globaldata/usmilies/jlj-3.gif "[:jlj:3]") ton premier poste et ajoute [résolu] dans le titre.
@++
|
|
|
|
|
Voilou c'est fait, en tout cas merci beaucoup pour votre aide très précieuse, et je vous souhaite une très bonne continuation dans votre travail.
@ ++ mon sauveur, ciao
|
|
|
1
|
|
|
|
