Trojan-gem

secrete71 · le 21 mars 2009

Bonjour,

J'ai regardé les sujets mais je ne sais pas lequel correspond le mieux à mon soucis, par conséquent pour éviter de faire des erreurs étant mes connaissances limitées en informatique, voici mon problème.

- tout mes contacts msn ont reçu un message qui est : Edité par Gof.

Même moi je l'ai reçu en retour de la part de mes contacts.

- De plus, j'ai des pages vierges IE qui s'ouvrent. Et si j'arrête pas IE avec les gestionnaire de tache, une multitude de page s'ouvrent dans une multitude d'onglets.

- quand j'écris, de temps en temps je tape dans le vide, le curseur a disparu !

- de temps en temps un sablier s'affiche sans raison, ou du moins je ne l'a connais pas, et pendant ce temps je suis bloqué je ne peux plus rien faire !

J'ai fait un scan avast qui a trouvé 2 trojan-gem(other) et il était recommandé de mettre en quarantaine, donc c'est ce que j'ai fait.

J'ai fait aussi un nettoyage avec CCleaner.

Merci si vous pouvez me dire ce qu'il faut faire et Et si cela peut aider voici le rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:12:14, on 21/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Documents and Settings\sylvie\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\fxsteller.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Alwil Software\Avast4\ashLogV.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.king.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = slau0085@alice.fr:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {8b2137be-84b3-48a7-a902-f66c9ec28883} - C:\WINDOWS\system32\dewulale.dll

O2 - BHO: {ef7c526e-5e5c-be38-24a4-3e6bb93a38e8} - {8e83a39b-b6e3-4a42-83eb-c5e5e625c7fe} - C:\WINDOWS\system32\kwsxtc.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [softwareHelper] C:\Documents and Settings\sylvie\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

O4 - HKLM\..\Run: [Windows UDP Control Center] fxsteller.exe

O4 - HKLM\..\Run: [Application Layer Gateway Services] C:\WINDOWS\system32\wuauclt.exe

O4 - HKLM\..\Run: [gejesanole] Rundll32.exe "C:\WINDOWS\system32\vidajadu.dll",s

O4 - HKLM\..\Run: [887eed78] rundll32.exe "C:\WINDOWS\system32\yederoda.dll",b

O4 - HKLM\..\Run: [CPM8b4ddee4] Rundll32.exe "c:\windows\system32\famatoge.dll",a

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/vers...vex-2.2.4.1.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/inst...ctDetection.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-df397b91ef59feaf.spaces.live.co...ad/MsnPUpld.cab

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://ma-config.com/activex/hardwaredetection_3_0_2_0.cab

O16 - DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} (AdSignerLCContrl Class) - https://static.impots.gouv.fr/tdir/static/a...gnerADP-1.1.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/p...obat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D67DA8A-5565-4D41-87D7-7B4A5C1929A8}: NameServer = 213.36.80.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3D67DA8A-5565-4D41-87D7-7B4A5C1929A8}: NameServer = 213.36.80.1

O20 - AppInit_DLLs: C:\WINDOWS\system32\kapekabo.dll kwsxtc.dll c:\windows\system32\famatoge.dll

O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\famatoge.dll

O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\famatoge.dll

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - Unknown owner - C:\Program Files\Fichiers communs\ArcSoft\Connection Service\Bin\ACService.exe (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--

End of file - 9927 bytes

angelique · le 21 mars 2009

tout pourri...

• Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau , pas ailleurs!!!!! de cette maniere ci dessous.

Fait un clic droit sur le lien de ComboFix et choisir ->

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.forospyware.com/sUBs/ComboFix.exe

http://subs.geekstogo.com/ComboFix.exe

* Avec Firefox -> Enregistrer la cible du lien sous...

* Avec Internet Explorer -> Enregistrer la cible sous...

Comme sur la capture, avant le téléchargement :

* Choisir le Bureau

* renommer par COlaF , Combo-Fix dans l'exemple

* Vous devez obtenir -> COlaF

* Cliquez enfin sur -> Enregistrer

Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/

* Double-clique combofix.exe(COlaF), accepte le CluF qui s'affiche, afin de l'exécuter et suis les instructions.

* Lorsque l'analyse sera complétée, un rapport apparaîtra que tu me posteras.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

tuto:: Un guide et un tutoriel sur l'utilisation de ComboFix

secrete71 · le 21 mars 2009

Merci Angélique

Petite précision, j'ai eu ce message

(si je ne me suis pas trompée pour remettre la copie écran et si lisible) !

Mon pc doit etre bien infecté car presque 40 minutes pour combofix...............

Voici le rapport :

ComboFix 09-03-19.02 - sylvie 2009-03-21 16:10:00.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.767.393 [GMT 1:00]

Lancé depuis: c:\documents and settings\sylvie\Bureau\Combo-Fix.exe

AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning disabled* (Outdated)

AV: avast! antivirus 4.8.1335 [VPS 090320-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\adoredey.ini

c:\windows\system32\bedamifu.dll

c:\windows\system32\dewulale.dll

c:\windows\system32\famatoge.dll.vir

c:\windows\system32\kapekabo.dll.vir

c:\windows\system32\kwsxtc.dll.vir

c:\windows\system32\vidajadu.dll

c:\windows\system32\yederoda.dll

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-21 au 2009-03-21 ))))))))))))))))))))))))))))))))))))

.

2009-03-21 12:37 . 2009-03-21 12:37 110,592 --a------ C:\bla.exe

2009-03-21 11:17 . 2009-03-21 11:18 <REP> d-------- c:\program files\Hidden Mysteries - Buckingham Palace

2009-03-21 04:38 . 2009-03-21 04:38 44,544 --ahs---- C:\tmp597.exe

2009-03-21 04:36 . 2009-03-21 04:36 30,720 --a------ C:\zpht.exe

2009-03-21 00:11 . 2009-03-20 10:44 48,690 -r-hs---- c:\windows\fxsteller.exe

2009-03-20 19:08 . 2009-03-20 19:08 <REP> d-------- c:\documents and settings\sylvie\Application Data\Friday's games

2009-03-20 17:14 . 2009-03-20 17:15 <REP> d-------- c:\program files\Neverland

2009-03-20 16:49 . 2009-03-21 15:15 <REP> d-------- c:\program files\Neptune's Secret

2009-03-20 16:45 . 2009-03-20 16:46 <REP> d-------- c:\program files\Natalie Brooks - Secrets of Treasure House

2009-03-20 12:19 . 2009-03-20 12:32 <REP> d-------- c:\program files\Mystery Stories - Island of Hope

2009-03-20 09:25 . 2009-03-20 09:25 <REP> d-------- c:\documents and settings\sylvie\Application Data\Meridian93

2009-03-20 08:13 . 2009-03-20 08:13 <REP> d-------- c:\program files\Defraggler

2009-03-19 19:01 . 2009-03-19 19:01 <REP> d-------- c:\documents and settings\All Users\Application Data\PlayPond

2009-03-15 14:14 . 2009-03-15 14:14 <REP> d-------- c:\documents and settings\All Users\Application Data\AdventureChronicles1

2009-03-15 10:17 . 2009-03-21 13:11 <REP> d-------- C:\HijackThis

2009-03-15 09:59 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat

2009-03-15 09:32 . 2005-02-16 11:06 218,112 --a------ C:\HijackThis.exe

2009-03-15 09:30 . 2009-03-15 09:30 212,843 --a------ C:\hijackthis_.zip

2009-03-15 08:51 . 2009-03-15 08:51 <REP> d-------- c:\windows\system32\XPSViewer

2009-03-15 08:51 . 2009-03-15 08:51 <REP> d-------- c:\program files\Reference Assemblies

2009-03-15 08:51 . 2009-03-15 08:51 <REP> d-------- c:\program files\MSBuild

2009-03-15 08:49 . 2009-03-15 08:50 <REP> d-------- C:\7a56903e44124f2ff355c4

2009-03-15 08:49 . 2008-07-06 13:06 1,676,288 --a------ c:\windows\system32\xpssvcs.dll

2009-03-15 08:49 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll

2009-03-15 08:49 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-03-15 08:49 . 2008-07-06 13:06 575,488 --a------ c:\windows\system32\xpsshhdr.dll

2009-03-15 08:49 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll

2009-03-15 08:49 . 2008-07-06 13:06 117,760 --a------ c:\windows\system32\prntvpt.dll

2009-03-15 08:49 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-03-15 08:48 . 2009-03-15 09:22 <REP> d-------- c:\windows\SxsCaPendDel

2009-03-14 10:57 . 2009-03-14 11:12 <REP> d-------- c:\documents and settings\sylvie\Application Data\Coyotes Tale

2009-03-11 14:37 . 2009-03-11 14:37 <REP> d-------- c:\program files\Hewlett-Packard

2009-03-11 14:19 . 2009-03-11 14:58 147,484 --a------ c:\windows\hpoins13.dat

2009-03-11 14:19 . 2007-01-22 17:05 811 --------- c:\windows\hpomdl13.dat

2009-03-10 18:41 . 2009-03-10 18:41 <REP> d-------- c:\documents and settings\sylvie\Application Data\DriverCure

2009-03-10 18:41 . 2009-03-10 18:41 <REP> d-------- c:\documents and settings\All Users\Application Data\ParetoLogic

2009-03-10 18:41 . 2009-03-10 18:42 <REP> d-------- c:\documents and settings\All Users\Application Data\DriverCure

2009-03-10 16:28 . 2009-03-10 16:28 <REP> d-------- c:\documents and settings\All Users\Application Data\MysteryChronicles

2009-03-07 14:32 . 2009-03-07 14:32 <REP> d-------- c:\documents and settings\sylvie\Application Data\Artogon

2009-03-07 13:19 . 2009-03-07 13:19 <REP> d-------- c:\documents and settings\sylvie\Application Data\MysteryStudio

2009-03-07 13:05 . 2009-03-07 13:05 <REP> d-------- c:\documents and settings\All Users\Application Data\MonteCristo

2009-03-06 20:19 . 2009-03-06 20:19 <REP> d-------- c:\documents and settings\All Users\Application Data\Astar Games

2009-03-04 08:53 . 2009-03-15 14:11 <REP> d-------- c:\program files\RamBoost XP

2009-03-02 13:25 . 2009-03-02 13:25 <REP> d-------- c:\documents and settings\All Users\Application Data\HiddenSecretsNightmare

2009-02-28 18:08 . 2009-02-28 18:08 <REP> d-------- c:\documents and settings\All Users\Application Data\SpecialBit

2009-02-26 02:16 . 2009-02-25 20:25 15,688 --a------ c:\windows\system32\lsdelete.exe

2009-02-25 20:25 . 2009-03-04 20:28 64,160 --a------ c:\windows\system32\drivers\Lbd.sys

2009-02-25 20:17 . 2009-02-25 20:17 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-24 14:35 . 2009-02-24 14:35 <REP> d-------- c:\program files\WordBiz

2009-02-24 10:18 . 2009-02-24 10:18 <REP> d-------- c:\documents and settings\sylvie\Application Data\JoyBits

2009-02-23 16:49 . 2009-02-23 16:50 <REP> d-------- c:\program files\Alabama Smith

2009-02-22 11:15 . 2009-02-22 11:15 <REP> d-------- c:\program files\bfgclient

2009-02-22 11:14 . 2009-03-21 13:48 <REP> d-------- c:\documents and settings\All Users\Application Data\BigFishGamesCache

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-21 14:40 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-03-21 13:31 --------- d-----w c:\documents and settings\All Users\Application Data\NeptunesAdve

2009-03-21 10:40 --------- d-----w c:\documents and settings\sylvie\Application Data\OpenOffice.org2

2009-03-20 18:26 --------- d-----w c:\documents and settings\sylvie\Application Data\PlayFirst

2009-03-20 18:26 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst

2009-03-20 11:33 --------- d-----w c:\documents and settings\sylvie\Application Data\cerasus.media

2009-03-19 00:04 --------- d-----w c:\documents and settings\sylvie\Application Data\uTorrent

2009-03-18 15:19 --------- d-----w c:\program files\eMule

2009-03-15 16:05 --------- d-----w c:\program files\TuneUp Utilities 2008

2009-03-15 08:40 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-03-14 15:39 --------- d-----w c:\program files\Oberon Media

2009-03-13 08:18 --------- d-----w c:\program files\Fichiers communs\Adobe

2009-03-11 13:39 --------- d-----w c:\program files\Fichiers communs\HP

2009-03-11 13:38 --------- d-----w c:\program files\HP

2009-03-09 13:07 --------- d-----w c:\documents and settings\sylvie\Application Data\Big Fish Games

2009-03-03 20:40 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-02-27 06:33 --------- d-----w c:\program files\Microsoft Silverlight

2009-02-25 19:17 --------- d-----w c:\program files\Lavasoft

2009-02-25 19:16 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-24 13:25 --------- d-----w c:\program files\Zylom Games

2009-02-21 10:29 --------- d-----w c:\program files\Windows Live

2009-02-18 12:01 --------- d-----w c:\documents and settings\sylvie\Application Data\EoRezo

2009-02-17 12:53 --------- d-----w c:\program files\IncrediMail

2009-02-16 11:48 --------- d-----w c:\program files\ODS

2009-02-06 18:39 308,600 ----a-w c:\windows\WLXPGSS.SCR

2009-02-05 15:22 --------- d-----w c:\documents and settings\All Users\Application Data\Alawar Stargaze

2009-02-05 08:35 --------- d-----w c:\documents and settings\sylvie\Application Data\Image Zone Express

2009-02-05 08:28 --------- d-----w c:\documents and settings\sylvie\Application Data\Printer Info Cache

2009-01-28 14:53 --------- d-----w c:\documents and settings\All Users\Application Data\NOS

2009-01-28 07:39 --------- d-----w c:\program files\iTunes

2009-01-28 07:39 --------- d-----w c:\program files\iPod

2009-01-28 07:39 --------- d-----w c:\program files\Fichiers communs\Apple

2009-01-28 07:39 --------- d-----w c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2009-01-28 07:35 --------- d-----w c:\program files\QuickTime

2009-01-26 07:21 --------- d-----w c:\program files\NOS

2009-01-22 11:23 32,549 ----a-w c:\windows\king-uninstall.exe

2009-01-21 09:38 --------- d-----w c:\documents and settings\sylvie\Application Data\Thunderbird

2008-08-08 13:40 425,984 -c--a-w c:\program files\Plug-in_messagerie_vocale_888.exe

2008-09-20 10:03 32,768 -csha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008092020080921\index.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-24 13524992]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"SoftwareHelper"="c:\documents and settings\sylvie\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe" [2008-12-09 368224]

"Application Layer Gateway Services"="c:\windows\system32\wuauclt.exe" [2008-10-16 51224]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-01-02 210520]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WebrootSpySweeperService]

@=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"swg"=c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

"CTFMON.EXE"=c:\windows\system32\ctfmon.exe

"IncrediMail"=c:\program files\IncrediMail\bin\IncMail.exe /c

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

"nwiz"=nwiz.exe /install

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"AppleSyncNotifier"=c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

"SoftwareHelper"=c:\documents and settings\sylvie\Application Data\eoRezo\SoftwareUpdate\SoftwareUpdateHP.exe

"Ad-Watch"=c:\program files\Lavasoft\Ad-Aware\AAWTray.exe

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=

"c:\\Program Files\\Nero\\Core\\nero.exe"=

"c:\\Program Files\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\tmp597.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-25 64160]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-06 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-11-06 20560]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951632]

R3 SiS7012;Service for AC'97 Sample Driver (WDM);c:\windows\system32\drivers\sis7012.sys [2008-05-10 267136]

S3 getPlus® Helper;getPlus® Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [2009-01-26 33752]

S3 hitmanpro2;Hitman Pro 2 Driver;\??\c:\program files\Hitman Pro\hitmanpro2.sys --> c:\program files\Hitman Pro\hitmanpro2.sys [?]

S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2008-06-26 576680]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-05-16 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-05-16 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-05-16 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-05-16 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-05-16 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-05-16 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-05-16 97704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Tâches planifiées'

2009-03-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-04 20:27]

.

- - - - ORPHELINS SUPPRIMES - - - -

BHO-{8b2137be-84b3-48a7-a902-f66c9ec28883} - c:\windows\system32\dewulale.dll

BHO-{8e83a39b-b6e3-4a42-83eb-c5e5e625c7fe} - c:\windows\system32\kwsxtc.dll

HKLM-Run-CPM8b4ddee4 - c:\windows\system32\famatoge.dll

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.king.com/

uInternet Settings,ProxyServer = slau0085@alice.fr:80

uInternet Settings,ProxyOverride = *.local

TCP: {3D67DA8A-5565-4D41-87D7-7B4A5C1929A8} = 213.36.80.1

DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} - hxxp://www.king.com/ctl/kingcomie.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

DPF: {B79A53C0-1DAC-4636-BACE-FD086A7A79BF} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab

FF - ProfilePath - c:\documents and settings\sylvie\Application Data\Mozilla\Firefox\Profiles\jyt9cznq.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.king.com/

FF - prefs.js: keyword.URL - hxxp://mystart.incredimail.com/?loc=ff_address_bar&search=

FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npmidas.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npornap.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-21 16:22:57

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Heure de fin: 2009-03-21 16:29:43 - La machine a redémarré [sylvie]

ComboFix-quarantined-files.txt 2009-03-21 15:29:37

Avant-CF: 83,009,454,080 octets libres

Après-CF: 82,998,992,896 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect /TUTag=ITHYM3

264 --- E O F --- 2009-03-11 11:38:46

angelique · le 21 mars 2009

t'as été desinfecté , y'a 3 jours , et tu reviens deja , c'est grave , y'a un serieux probleme comportemental là................

http://forum.zebulon.fr/ms-dos-security-al...is-t140935.html

en 1 journée t'as telechargé n'importawak et tu t'ai faite powned

2009-03-20 18:26 --------- d-----w c:\documents and settings\sylvie\Application Data\PlayFirst

2009-03-20 18:26 --------- d-----w c:\documents and settings\All Users\Application Data\PlayFirst

2009-03-20 11:33 --------- d-----w c:\documents and settings\sylvie\Application Data\cerasus.media

2009-03-19 00:04 --------- d-----w c:\documents and settings\sylvie\Application Data\uTorrent

2009-03-18 15:19 --------- d-----w c:\program files\eMule

-------------------------------------------------------------------------

• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

File::
C:\bla.exe
C:\tmp597.exe
C:\zpht.exe
C:\hijackthis_.zip
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoftwareHelper"=-
"Application Layer Gateway Services"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\tmp597.exe"=-

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

• Vire avast pour antivir : http://forum.malekal.com/viewtopic.php?f=45&t=3528

• • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...001/index.html:

http://imagesup.org/images/1237009714-jsff.jpg

• Configurer FireFox pour vider cache, cookies ...... à sa fermeture:

http://imagesup.org/images/1237009855-clrff.jpg

• Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

• reposte un nouveau rapport HijackThis avec le rapport CFScript\ComboFix

secrete71 · le 21 mars 2009

Tout d'abord, pardon pour le précédent message, j'ai envoyé avant d'écrire quoique ce soit !

Puis, pourquoi cette phrase : "t'as été desinfecté , y'a 3 jours , et tu reviens deja , c'est grave , y'a un serieux probleme comportemental là................" ?

Je comprends pas !!!! Comment ai je pu être désinfecté il y a 3 jours et par qui ?????? Je ne vous ai pas contacté !

Pourquoi me montrer un message d'il y a un an en arrière ???

Voici le rapport CFScript\ComboFix suivi de celui de Hijackthis :

ComboFix 09-03-19.02 - sylvie 2009-03-21 17:45:56.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.767.418 [GMT 1:00]

Lancé depuis: c:\documents and settings\sylvie\Bureau\Combo-Fix.exe

Commutateurs utilisés :: c:\documents and settings\sylvie\Bureau\CFScript.txt

AV: AntiVir PersonalEdition Classic Virus Protection *On-access scanning disabled* (Outdated)

AV: avast! antivirus 4.8.1335 [VPS 090320-0] *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

FILE ::

C:\bla.exe

C:\hijackthis_.zip

C:\tmp597.exe

C:\zpht.exe