gros trojan pour ignorante... =RESOLU=

[marmottepunk]

Bonjour,

 

j'ai commencer à avoir des problème avec mon pc (des fenetres écritent en italiens s'ouvrent lorsque je vais sur internet)

Donc comme je n'ai qu'un fire wall sur mon ordinateur, je suis allée sur le site internet bitdefender et j'ai effectuée une analyse de mon pc, et bitdefender a trouvé 20 virus qui ont déja atteint 93 fichiers. Le scan de bitdefender a donc supprimer ou désinfecter quelques fichiers mais je pense qu'il y a des reste du trojan quelque part. De plus, bitdefender a trouver plusieurs trojan ou alors c'est le même qui a des noms différents, enfin bon, quoi qu'il en soit, je ne suis pas une pro et j'ai besoin d'aide...

 

merci d'avance a ceux qui pourront m'aider!

 

Modifié le 10 septembre 2006 par marmottepunk

[Gof]

Bonjour marmottepunk

 

Sympa comme pseudo

 

Messages: 1

Bienvenue sur les forums de Zebulon

Quelques liens pour t'aider à commencer dans l'utilisation de ce forum :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

Commence par appliquer cette procédure préliminaire. Un membre de l'Espace sécurité, un junior ou moi-même s'occupera alors de toi :

 

J'attire ton attention sur le paramétrage d'Antivir qui est important, sur le placement et le renommage de Hijackthis.exe

 

 

Phase 1

• Fais un copier-coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion ; ou sauvegarde cette page via ton navigateur pour conserver la mise en page (Fichier>Enregistrer sous)
   
   
  
• Télécharge Antivir
   
   
  
• Installe Antivir : Il est impératif de le configurer correctement afin de faire la meilleure analyse possible,
  consulte le tuto suivant (imprime la ou sauvegarde la comme indiqué plus haut) => Tutoriel de tesgaz
   
   
  
• Rends-toi à l'étape: Configuration du tutoriel de tesgaz. Dans ce paragraphe , seule la partie suivante nous intéresse:Configuration du scanner et ses sous parties : "action on malware" - "Heuristic" - "Archives". Note: il est inutile de configurer la fonction "Guard" décrite dans la partie "Configuration Guard".
   
   
  
• Si tu désires conserver Antivir une fois la procédure de prénettoyage terminée (parce que tu n'as pas d'antivirus par exemple), il te faudra suivre le tutoriel en entier pour pouvoir bénéficier de la protection résidente !

  Précisions importantes -> le choix d'Antivir comme antivirus à utiliser dans le cadre de cette procédure a reposé sur les critères suivants :
  - failles de ton antivirus qui a laissé passer des malwares
  - Antivir peut-être installé et désinstallé facilement
  - Antivir est reconnu pour son efficacité en mode sans échec
  - le tutorial de tesgaz permet de le paramétrer sans problème.

   
  
• Télécharge la dernière version d'HijackThis ici ou ici (en cas d'indisponibilité!)
  

Phase 2

• Redémarre le PC, impérativement en mode sans échec.
   
   
  
• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec" et appuie sur [Entrée].
  NB : en cas de problème pour sélectionner le mode sans échec, applique la procédure de Symantec=>
  Comment démarrer l'ordinateur en mode sans échec
   
   
  
• A l'ouverture de session, choisis la session courante (ta session habituelle) et non celle de l'administrateur.
  

 

Phase 3

• Nettoyage rapide du disque dur : Menu Démarrer>Exécuter, tape CleanMgr et valide.
   
   
  
• Cette fonction cleanmgr génére parfois un bug sous système Windows 2000.
   
   
  
• Affiche tous les fichiers par cette modification des options de l'explorateur Windows : Menu "Outils", "Option des dossiers", onglet "Affichage"=>
  -Active la case : "Afficher les fichiers et dossiers cachés"
  -Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
  -Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
  -Puis clique sur "Appliquer".
  Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.
   
   
  
• Complète le nettoyage cleanmgr par un nettoyage succint manuel => suppression de tous les fichiers contenus dans les dossiers :
  -C:\TEMP
  -C:\WINDOWS\TEMP
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temp
  -C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files
  -Vider la corbeille
   
   
  
• Recherche et élimination des parasites avec Antivir=>
  lance une analyse complète du, ou des disques dur, et supprime tous les fichiers infectés (s'ils existent)
  Sauvegarde le rapport!
   
   
  
• Désinstallation d'Antivir(si tu ne souhaites pas le conserver)=> termine les processus suivants dans le gestionnaire des tâches (fais Ctrl+Alt+Suppr pour ouvrir la fenêtre puis clique sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE
  Puis, désinstalle Antivir dans ajout/suppression de programmes.
   
   
  
• Redémarre le PC en mode normal
   
   
  
• Installation et utilisation d'HijackThis=>
  Crée un nouveau dossier à la racine de ton disque dur :
  C:\Program Files\HijackThis
  Double-clique sur poste de travail / double-clique sur l'icone de C / double-clique sur le répertoire Program Files / Fais un clic-droit dans la fenêtre et choisis "nouveau dossier" ; nomme le "HijackThis".
  Décompresse le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis. Renomme Hijackthis.exe en [ton pseudo sur zebulon].exe (n'insère pas d'espaces, de ponctuations ou de caractères accentués dans le nom) ; crée un raccourci sur le bureau.
  Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire
   
   
  
• Arrête tous les programmes en cours et ferme toutes les fenêtres
   
   
  
• Exécute HijackThis (renommé) à l'aide du raccourci et clique sur le bouton "Do a system scan and save a logfile"
   
   
  
• Le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si tu veux conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)
   
   
  
• NB : en cas de problème, applique le Tutorial de BipBip avec copies d'écran.
  

Phase 4

• Ouvre le rapport HijackThis précédemment sauvegardé et fais : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que tu as crée dans le forum Analyse rapports HijackThis, Eradication malwares de manière à ce qu'un "helper" te dise ce qu'il faut faire. Puis fairs de même avec le rapport antivir.
  
• Attends l'analyse et la réponse. Les intervenants sont des bénévoles et prennent sur leur temps par passion, ne t'impatiente pas au bout de quelques minutes si tu n'as pas eu de réponses
   
  Je te demanderais d'ajouter aux deux rapports déjà demandés ces deux-ci :
   
   
  
• Exécute Hijackthis :
  Clique sur "Open the misc tools sections"
  Clique sur "Open uninstall Manager"
  Clique sur "Save list"
  Enregistre le fichier > Une fenêtre du bloc-notes va s'ouvrir, copie-colle le contenu dans ton prochain post.
   
   
  
• Télécharge Blacklight (de F-Secure)
  Clique sur "I ACCEPT" au bas de la page.
  Sauvegarde le sur ton Bureau.
  Double-clique blbeta.exe et accepte la licence
  Clique Scan puis Next
  Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
  Copie et colle le contenu de ce rapport dans ta prochaine réponse.
  NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
  

[auteur de la méthode : Megataupe / New canned par Charles Ingals / + Modifications perso]

 

Bon courage

[marmottepunk]

VOILA LES DIFFERENTS RAPPORTS!

 

--------------------------------------------------------------------------------------------------------------

AntiVir PersonalEdition Classic

Report file date: vendredi 8 septembre 2006 19:30

 

Scanning for 499494 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: Vivi

Computer name: ACER-3532B02D00

 

Version informations:

AVSCAN.EXE : 7.0.0.42 557096 08/09/2006 11:20:09

AVSCAN.DLL : 7.0.0.42 53288 08/09/2006 11:20:09

LUKE.DLL : 7.0.0.42 118824 08/09/2006 11:20:11

LUKERES.DLL : 7.0.0.42 25640 08/09/2006 11:20:11

ANTIVIR0.VDF : 6.35.0.1 7371264 08/09/2006 11:20:08

ANTIVIR1.VDF : 6.35.1.122 1270784 08/09/2006 11:20:08

ANTIVIR2.VDF : 6.35.1.200 237056 08/09/2006 11:20:08

ANTIVIR3.VDF : 6.35.1.202 4608 08/09/2006 11:20:08

AVEWIN32.DLL : 7.1.1.14 1835520 08/09/2006 11:20:08

AVPREF.DLL : 7.0.0.1 49192 08/09/2006 11:20:09

AVREP.DLL : 6.35.1.191 794664 08/09/2006 11:20:09

AVRPBASE.DLL : 7.0.0.0 2162728 08/09/2006 11:20:09

AVPACK32.DLL : 7.1.0.1 335912 08/09/2006 11:20:09

AVREG.DLL : 6.31.0.90 27688 08/09/2006 11:20:09

NETNT.DLL : 6.32.0.0 6696 08/09/2006 11:20:11

NETNW.DLL : 6.32.0.0 9768 08/09/2006 11:20:11

RCIMAGE.DLL : 7.0.0.71 1642536 08/09/2006 11:20:25

RCTEXT.DLL : 7.0.0.75 77864 08/09/2006 11:20:25

 

Configuration settings for the scan:

Jobname: '%s'.................: Manual Selection

Configuration file............: C:\Documents and Settings\All Users\Application Data\AntiVir PersonalEdition Classic\PROFILES\folder.avp

Boot sectors..................: C,D,E,H

Scan memory...................: 1

Process scan..................: 1

Scan all files................: 1

Scan archives.................: 1

Recursion depth...............: 20

Smart extensions..............: 1

Skipped archive types.........: 1000,1001,1002,1003,1004,

Macro heuristic...............: 1

File heuristic................: 2

Primary action................: 8

Secondary action..............: 0

 

Start of the scan: vendredi 8 septembre 2006 19:30

 

 

The scan over running processes will be started

13 Processes was scanned

 

Start scanning boot sectors:

 

Boot sector 'C:\'

[NOTE] No virus was found!

Boot sector 'D:\'

[NOTE] No virus was found!

Boot sector 'H:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( 37 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\WINDOWS\system32\winzzd32.dll

[DETECTION] Is the Trojan horse TR/PCK.Klone.G.42

[WARNING] An error has been performed and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\mljgf.dll

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[WARNING] An error has been performed and the file was not deleted. ErrorID: 16003

[WARNING] The file could not be deleted!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SYSTEM

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\SOFTWARE

[WARNING] The file could not be opened!

C:\WINDOWS\system32\config\DEFAULT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Vivi\NTUSER.DAT

[WARNING] The file could not be opened!

C:\Documents and Settings\Vivi\ntuser.dat.LOG

[WARNING] The file could not be opened!

C:\Documents and Settings\Vivi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

C:\Documents and Settings\Vivi\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

The path E:\ could not be found!

Le périphérique n'est pas prêt.

 

 

 

End of the scan: vendredi 8 septembre 2006 20:14

Used time: 43:46 min

 

The scan has been done completely.

 

3137 Scanning directories

146194 Files were scanned

2 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

6901 Archives were scanned

21 Warnings

1 Notes

 

 

-------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 20:51:19, on 08/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

c:\program files\mcafee.com\agent\mcdetect.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\sistray.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

c:\program files\mcafee.com\agent\mcagent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\AntiVir PersonalEdition Classic\GUARDGUI.EXE

C:\Program Files\hijackthis\marmottepunk.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} - C:\WINDOWS\system32\mljgf.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [f1c56988.exe] C:\Documents and Settings\Vivi\Local Settings\Application Data\f1c56988.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Exif Launcher.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...846/mcfscan.cab

O20 - Winlogon Notify: mljgf - C:\WINDOWS\system32\mljgf.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

 

--------------------------------------------------------------------------------------------------------------------------

 

Acer eManager for Notebook

Acer GridVista

Adobe Photoshop CS

Adobe Reader 6.0

Avira AntiVir PersonalEdition Classic

Click'N Design 3D for AfterBurner (V5)

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

EPSON Copy Utility 3

EPSON Logiciel imprimante

EPSON Scan

EPSON Smart Panel

FinePixViewer Ver.4.0

FUJIFILM USB Driver

Google Toolbar for Internet Explorer

HijackThis 1.99.1

ImageMixer VCD for FinePix

J2SE Runtime Environment 5.0 Update 7

Launch Manager

McAfee Personal Firewall Plus

McAfee SecurityCenter

Microsoft Office XP Professional

MicroStaff WINASPI NT

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Nero 7 Premium

NTI Backup NOW! 4

NTI CD & DVD-Maker Gold

PhotoImpression 5

PIF DESIGNER2.1

PowerDVD

QuickTime

RAW FILE CONVERTER LE

Realtek AC'97 Audio

ScanToWeb

SiS 900 PCI Fast Ethernet Adapter Driver

SiS VGA Utilities

SiSAGP driver

SoftV90 Data Fax Modem with SmartCP

Synaptics Pointing Device Driver

ToolBar888

Wanadoo Messager

Windows Installer 3.1 (KB893803)

XnView 1.82.4

 

---------------------------------------------------------------------------------------------------------------------

 

09/08/06 21:00:22 [info]: BlackLight Engine 1.0.46 initialized

09/08/06 21:00:22 [info]: OS: 5.1 build 2600 (Service Pack 2)

09/08/06 21:00:22 [Note]: 7019 4

09/08/06 21:00:22 [Note]: 7005 0

09/08/06 21:00:25 [Note]: 7006 0

09/08/06 21:00:25 [Note]: 7011 4080

09/08/06 21:00:26 [Note]: 7026 0

09/08/06 21:00:26 [Note]: 7026 0

09/08/06 21:00:34 [Note]: FSRAW library version 1.7.1019

09/08/06 21:00:46 [Note]: 2000 1006

09/08/06 21:01:00 [Note]: 7007 0

 

-----------------------------------------------------------------------------------------------------------

Acer eManager for Notebook

Acer GridVista

Adobe Photoshop CS

Adobe Reader 6.0

Avira AntiVir PersonalEdition Classic

Click'N Design 3D for AfterBurner (V5)

Correctif Windows XP - KB873339

Correctif Windows XP - KB885835

Correctif Windows XP - KB885836

Correctif Windows XP - KB885884

Correctif Windows XP - KB886185

Correctif Windows XP - KB887472

Correctif Windows XP - KB887742

Correctif Windows XP - KB888113

Correctif Windows XP - KB888302

Correctif Windows XP - KB890859

Correctif Windows XP - KB891781

EPSON Copy Utility 3

EPSON Logiciel imprimante

EPSON Scan

EPSON Smart Panel

FinePixViewer Ver.4.0

FUJIFILM USB Driver

Google Toolbar for Internet Explorer

HijackThis 1.99.1

ImageMixer VCD for FinePix

J2SE Runtime Environment 5.0 Update 7

Launch Manager

McAfee Personal Firewall Plus

McAfee SecurityCenter

Microsoft Office XP Professional

MicroStaff WINASPI NT

Mise à jour de sécurité pour Lecteur Windows Media (KB911564)

Mise à jour de sécurité pour Lecteur Windows Media 9 (KB917734)

Mise à jour de sécurité pour Windows XP (KB890046)

Mise à jour de sécurité pour Windows XP (KB893756)

Mise à jour de sécurité pour Windows XP (KB896358)

Mise à jour de sécurité pour Windows XP (KB896422)

Mise à jour de sécurité pour Windows XP (KB896423)

Mise à jour de sécurité pour Windows XP (KB896424)

Mise à jour de sécurité pour Windows XP (KB896428)

Mise à jour de sécurité pour Windows XP (KB899587)

Mise à jour de sécurité pour Windows XP (KB899591)

Mise à jour de sécurité pour Windows XP (KB900725)

Mise à jour de sécurité pour Windows XP (KB901017)

Mise à jour de sécurité pour Windows XP (KB901190)

Mise à jour de sécurité pour Windows XP (KB901214)

Mise à jour de sécurité pour Windows XP (KB902400)

Mise à jour de sécurité pour Windows XP (KB904706)

Mise à jour de sécurité pour Windows XP (KB905414)

Mise à jour de sécurité pour Windows XP (KB905749)

Mise à jour de sécurité pour Windows XP (KB908519)

Mise à jour de sécurité pour Windows XP (KB911562)

Mise à jour de sécurité pour Windows XP (KB911567)

Mise à jour de sécurité pour Windows XP (KB911927)

Mise à jour de sécurité pour Windows XP (KB912919)

Mise à jour de sécurité pour Windows XP (KB913580)

Mise à jour de sécurité pour Windows XP (KB914388)

Mise à jour de sécurité pour Windows XP (KB914389)

Mise à jour de sécurité pour Windows XP (KB916281)

Mise à jour de sécurité pour Windows XP (KB917159)

Mise à jour de sécurité pour Windows XP (KB917344)

Mise à jour de sécurité pour Windows XP (KB917422)

Mise à jour de sécurité pour Windows XP (KB917953)

Mise à jour de sécurité pour Windows XP (KB918439)

Mise à jour de sécurité pour Windows XP (KB918899)

Mise à jour de sécurité pour Windows XP (KB920214)

Mise à jour de sécurité pour Windows XP (KB920670)

Mise à jour de sécurité pour Windows XP (KB920683)

Mise à jour de sécurité pour Windows XP (KB921398)

Mise à jour de sécurité pour Windows XP (KB921883)

Mise à jour de sécurité pour Windows XP (KB922616)

Mise à jour pour Windows XP (KB894391)

Mise à jour pour Windows XP (KB898461)

Mise à jour pour Windows XP (KB900485)

Mise à jour pour Windows XP (KB908531)

Mise à jour pour Windows XP (KB910437)

Mise à jour pour Windows XP (KB911280)

Mise à jour pour Windows XP (KB916595)

Nero 7 Premium

NTI Backup NOW! 4

NTI CD & DVD-Maker Gold

PhotoImpression 5

PIF DESIGNER2.1

PowerDVD

QuickTime

RAW FILE CONVERTER LE

Realtek AC'97 Audio

ScanToWeb

SiS 900 PCI Fast Ethernet Adapter Driver

SiS VGA Utilities

SiSAGP driver

SoftV90 Data Fax Modem with SmartCP

Synaptics Pointing Device Driver

ToolBar888

Wanadoo Messager

Windows Installer 3.1 (KB893803)

XnView 1.82.4

 

 

 

voila!

 

j'attend de l'aide...

 

merci

[Gof]

Bonsoir marmottepunk

 

Tu es infectée, on va y aller par étapes.

 

- Télécharge Smitfraudfix de S!Ri : http://siri.urz.free.fr/Fix/SmitfraudFix.zip

• Décompresse la totalité de l'archive sur ton bureau.
  
• Double-clique sur smitfraudfix.cmd
  
• Sélectionne 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
  sauvegarde ce rapport et poste le.
  
• process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.
  Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
  

 

- Télécharge VirtumundoBegone sur le bureau : http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

• Double-clique ensuite sur VirtumundoBeGone.exe et suis les instructions.
  
• Une fois terminé, redémarre et poste le rapport VBG.TXT créé sur le bureau dans ta prochaine réponse avec un nouveau rapport HijackThis (toujours le renommé).
  
• Ne t'inquiète pas si tu vois un message Ecran bleu "Erreur fatale", c'est normal et attendu.
  

A plus tard.

[marmottepunk]

Je voulais aussi savoir si c'etait normal que je reçoive des alertes d'antivir toutes les 2 secondes. Ce sont des alertes qui me demandent qu'est ce que je veux faire des fichiers infectés. En fait à chaque fichier infecté, je recoit une de ces alertes. Comment les stopper?

 

merci

[Gof]

Bonjour marmottepunk

 

Oui c'est normal si c'est dans le cadre de l'utilisation des 2 outils que je viens de te faire télécharger. Relis bien mon message précédent -> "process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus".

 

Fais un clic-droit sur le parapluie d'antivir et sélectionne "deactive guard" pour désactiver temporairement le résident d'antivir afin de pouvoir passer les outils.

[marmottepunk]

VOILA LES NOUVEAUX RAPPORTS DEMANDE :

 

SmitFraudFix v2.84

 

Rapport fait à 12:19:48,01, 09/09/2006

Executé à partir de C:\Documents and Settings\Vivi\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\components\flx?.dll PRESENT !

C:\WINDOWS\system32\components\flx??.dll PRESENT !

C:\WINDOWS\system32\components\flx???.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Vivi\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\VIVI\FAVORIS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

---------------------------------------------------------------------------------------------------------------------

 

[09/09/2006, 12:23:24] - VirtumundoBeGone v1.5 ( "C:\Documents and Settings\Vivi\Bureau\VirtumundoBeGone.exe" )

[09/09/2006, 12:23:33] - Detected System Information:

[09/09/2006, 12:23:33] - Windows Version: 5.1.2600, Service Pack 2

[09/09/2006, 12:23:33] - Current Username: Vivi (Admin)

[09/09/2006, 12:23:33] - Windows is in NORMAL mode.

[09/09/2006, 12:23:33] - Searching for Browser Helper Objects:

[09/09/2006, 12:23:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[09/09/2006, 12:23:33] - BHO 2: {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} ()

[09/09/2006, 12:23:33] - WARNING: BHO has no default name. Checking for Winlogon reference.

[09/09/2006, 12:23:33] - Checking for HKLM\...\Winlogon\Notify\mljgf

[09/09/2006, 12:23:33] - Found: HKLM\...\Winlogon\Notify\mljgf - This is probably Virtumundo.

[09/09/2006, 12:23:33] - Assigning {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} MSEvents Object

[09/09/2006, 12:23:33] - BHO list has been changed! Starting over...

[09/09/2006, 12:23:33] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[09/09/2006, 12:23:33] - BHO 2: {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} (MSEvents Object)

[09/09/2006, 12:23:33] - ALERT: Found MSEvents Object!

[09/09/2006, 12:23:33] - BHO 3: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)

[09/09/2006, 12:23:33] - BHO 4: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[09/09/2006, 12:23:33] - BHO 5: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[09/09/2006, 12:23:33] - BHO 6: {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} (ToolBar888)

[09/09/2006, 12:23:33] - Finished Searching Browser Helper Objects

[09/09/2006, 12:23:33] - *** Detected MSEvents Object

[09/09/2006, 12:23:33] - Trying to remove MSEvents Object...

[09/09/2006, 12:23:34] - Terminating Process: IEXPLORE.EXE

[09/09/2006, 12:23:34] - Terminating Process: RUNDLL32.EXE

[09/09/2006, 12:23:35] - Disabling Automatic Shell Restart

[09/09/2006, 12:23:35] - Terminating Process: EXPLORER.EXE

[09/09/2006, 12:23:35] - Suspending the NT Session Manager System Service

[09/09/2006, 12:23:35] - Terminating Windows NT Logon/Logoff Manager

[09/09/2006, 12:30:26] - Re-enabling Automatic Shell Restart

[09/09/2006, 12:30:26] - File to disable: C:\WINDOWS\system32\mljgf.dll

[09/09/2006, 12:30:26] - Renaming C:\WINDOWS\system32\mljgf.dll -> C:\WINDOWS\system32\mljgf.dll.vir

[09/09/2006, 12:30:27] - File successfully renamed!

[09/09/2006, 12:30:27] - Removing HKLM\...\Browser Helper Objects\{578D1C14-4639-4FDC-8EB4-9518DE5E0DA5}

[09/09/2006, 12:30:27] - Removing HKCR\CLSID\{578D1C14-4639-4FDC-8EB4-9518DE5E0DA5}

[09/09/2006, 12:30:27] - Adding Kill Bit for ActiveX for GUID: {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5}

[09/09/2006, 12:30:28] - Deleting ATLEvents/MSEvents Registry entries

[09/09/2006, 12:30:28] - Removing HKLM\...\Winlogon\Notify\mljgf

[09/09/2006, 12:30:28] - Searching for Browser Helper Objects:

[09/09/2006, 12:30:28] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)

[09/09/2006, 12:30:28] - BHO 2: {64F56FC1-1272-44CD-BA6E-39723696E350} (EoBho Class)

[09/09/2006, 12:30:28] - BHO 3: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class)

[09/09/2006, 12:30:28] - BHO 4: {AA58ED58-01DD-4d91-8333-CF10577473F7} (Google Toolbar Helper)

[09/09/2006, 12:30:28] - BHO 5: {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} (ToolBar888)

[09/09/2006, 12:30:28] - Finished Searching Browser Helper Objects

[09/09/2006, 12:30:28] - Finishing up...

[09/09/2006, 12:30:28] - A restart is needed.

[09/09/2006, 12:30:48] - Attempting to Restart via STOP error (Blue Screen!)

 

---------------------------------------------------------------------------------------------------------------------

 

Logfile of HijackThis v1.99.1

Scan saved at 12:35:39, on 09/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

c:\program files\mcafee.com\agent\mcdetect.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\keyhook.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Launch Manager\QtZgAcer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\PROGRA~1\mcafee.com\agent\mcagent.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\sistray.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\Program Files\acer\eRecovery\Monitor.exe

C:\Program Files\hijackthis\marmottepunk.exe

c:\program files\mcafee.com\agent\mcupdate.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe

O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\WANADOO\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=

O4 - HKCU\..\Run: [f1c56988.exe] C:\Documents and Settings\Vivi\Local Settings\Application Data\f1c56988.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Exif Launcher.lnk = ?

O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...846/mcfscan.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com\agent\mcdetect.exe

O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

 

 

 

 

voila!

[Gof]

Bonjour marmottepunk

 

Bien, on continue.

 

Double-clique sur smitfraudfix.cmd

• Sélectionne 2 pour supprimer les fichiers responsables de l'infection.
  
• A la question Voulez-vous nettoyer le registre ? réponds oui afin de débloquer le fond d'écran
  et supprimer les clés de démarrage automatique de l'infection.
  
• Le fix déterminera si le fichier wininet.dll est infecté.
  
• A la question Corriger le fichier infecté ? réponds oui pour remplacer le fichier corrompu.
  
• Redémarre en mode normal et poste le rapport sur le forum.
  

[marmottepunk]

nouveau rapport!!!!

 

 

 

SmitFraudFix v2.84

 

Rapport fait à 13:38:55,31, 09/09/2006

Executé à partir de C:\Documents and Settings\Vivi\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

 

Nettoyage terminé.

 

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

[Gof]

Re marmottepunk,

 

Au boulot.

 

Imprime ou sauvegarde ces instructions dans un fichier texte de manière à pouvoir les consulter en mode sans échec.Tu peux également enregistrer cette page à partir de ton navigateur (fichier>enregistrer sous) de sorte de conserver la mise en page

 

1. Téléchargement et installation des outils nécessaires.

• Ewido anti-malware d' Ewido Networks - Mets le à jour puisque tu l'as déja :
  • Lance Ewido et clique sur le bouton Update (barre d'outils - au haut). Sous Manual Update clique Start update.
    Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Update successful"
    Ferme Ewido. Ne pas le lancer tout de suite.
    Un tuto si tu n'y arrives pas =>
  http://www.malekal.com/tutorial_ewidoV4.html
  

[*]Télécharge JV16 et mets le dans un dossier. Son tutorial pour l'utiliser correctement : ici.

 

 

[*]Télécharge ATF Cleaner par Atribune.

 

 

[*]Télécharge Killbox et décompresse le dans un dossier à son nom.

--Lance Killbox

--Choisis l'option Delete on Reboot

--Copie le chemin complet du fichier dans la boîte "Full Path of File to Delete" :

C:\WINDOWS\system32\winzzd32.dll

--Clique sur "Unregister .dll Before Deleting"

--Clique sur la croix blanche sur fond rouge (Delete File).

--A la question "File will be Removed on Reboot, Do you want to reboot now?", réponds Oui.

--Si Pocket KillBox ne fait pas redémarrer le PC, redémarre le toi même

2. Redémarre en mode sans échec :

 

(En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)

Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,

Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusqu’à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec"et appuyer sur [Entrée].

NB:Si problème aller voir ici: http://service1.symantec.com/support/inter...020905112131924

 

 

3. Suppression des éléments infectieux.

• Rends toi dans ton panneau de configuration>Ajout/Suppression de programmes et désinstalle : ToolBar888
   
   
  
• Rends toi dans ton menu Démarrer>Exécuter et copie-colle : C:\Documents and Settings\Vivi\Local Settings\Application Data\
  Supprime le fichier : f1c56988.exe
  

4. Correction (FIX) des lignes dans HijackThis.

• Lance un scan HijackThis.
  
• clique sur Do a system scan only et coche les lignes ci-dessous (si encore présentes):
   
  O2 - BHO: (no name) - {578D1C14-4639-4FDC-8EB4-9518DE5E0DA5} - C:\WINDOWS\system32\mljgf.dll
  O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - C:\PROGRA~1\eoRezo\EoAdv\EOREZO~1.DLL (file missing)
  O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
  O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
  O4 - HKCU\..\Run: [f1c56988.exe] C:\Documents and Settings\Vivi\Local Settings\Application Data\f1c56988.exe
  O4 - Global Startup: Exif Launcher.lnk = ?
  O20 - Winlogon Notify: mljgf - C:\WINDOWS\system32\mljgf.dll
  O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\SYSTEM32\winzzd32.dll
   
   
  
• Ferme toutes les fenêtres sauf HijackThis et clique sur Fix Checked.
  

5. Nettoyage du disque pour préparer et faciliter l'intervention d'EWIDO.

 

Double-clique ATF-Cleaner.exe afin de lancer le programme.

• Pour internet explorer
  Sous l'onglet Main, choisis : Select All
  Clique sur le bouton Empty Selected
   
  Pour Firefox
  Sous l'onglet Firefox, choisis : Select All
  Clique le bouton Empty Selected
  NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
  Clique Exit, du menu prinicipal, afin de fermer le programme.
  

Exécute JV16.

• Mets le logiciel en français Preferences > Language > Français > OK.
  Ensuite, Outils registre > menu Outils > nettoyeur de registre.
  Coche "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".
  Clique sur "Continuer" puis sur "Démarrer".
  Quand jv16 a terminé la recherche,vas dans le menu "sélectionner" choisis "sélectionner tout" puis en bas à droite choisis l'option "supprimer". Tu peux supprimer toutes les entrées en vert.
  

6. Nettoyage complémentaire par EWIDO.

• Lance Ewido et clique sur Scanner
  
• Puis sur l'onglets Settings, pour How to Act sélectionne Quarantine
  
• Reviens a l'onglet Scan et clique sur Complete system Scan, le scan démarre
  
• A la fin clique sur Apply all actions
  
• Puis sur Save report et pour finir Save report as, enregistre sur le Bureau
  

7. Redémarrage en mode normal, "post" des logs

• Redémarre en mode normal.
   
  Poste :
  
• le rapport EWIDO
  
• Un nouveau Log HijackThis (toujours avec celui renommé)
  

A plus tard.

Modifié le 9 septembre 2006 par Gof