Symptômes de Blaster, mais pas blaster !

[frosties]

Bon, j'ai un gros souci sur mon pc, et même après avoir fouillé des heures sur tout le net, je n'ai rien trouvé. (juste UN post d'un mec qui a les mêmes soucis mais sans réponses.)

 

Les symptomes, pour rafraichir les mémoires :

autorité NT/system, message d'erreur du RPC qui annonce la fermeture de windows avec un compte à rebours de 60sec

plus de copier-coller ou de glisser-déplacer

Recherche qui ne fonctionne pas

 

Rajouté à ça, j'ai :

explorer.exe qui galère, qui se ferme régulièrement (et que je ré-active via le gestionnaire de taches)

la barre de taches qui disparait

pas mal d'applications pas ouvrables, car manque de mémoire.

le "problème" en question qui m'a carrément fait disparaître ma connection internet.

le service RPC pas modifiable, ça serait trop beau !

 

Ca m'est arrivé à mon retour de vacances. En partant, tout tournait rond, RAS. 20 jours plus tard, le premier démarrage redémarre tout seul comme un salopard (sans fermer windows) au bout de 5 min alors que ça ramait anormalement. Et au second démarrage, le fameux message d'erreur...

 

 

 

 

 

Avec la feinte de modification de l'heure et l'entrée "shutdown -a", j'ai pu chercher un peu...

J'ai cherché la présence de virus ou autre.

Spyware, A², adaware, AVG, et rootkit. Ils n'ont rien trouvé a part smitfraud, mais que je trainais déjà avant ce souci. Rootkit a trouvé un petit truc dans le registre, mais pas connu sur le net.

 

J'ai cherché Blaster et Sasser. Il n'y a pas leurs noms de programmes qui tournent, pas leur présence là où ils devraient être dans le registre, et enfin, j'ai essayé 2 fixs pour chaque qui ne détectent rien. J'en conclu assez logiquement qu'ils ne sont pas là...

 

J'ai fait un scan HijackThis. Je le poste dès que je peux, je ne l'ai pas sous la main. Avec mes maigres connaissances, je l'ai analysé et il n'y a rien à signaler dessus.

 

 

 

Help ! Parce que là, vraiment, je n'y comprends plus rien !

A ce point c'est presque un défi

Modifié le 10 mai 2007 par frosties

[regis56]

Bonjour frosties !

 

Si tu veut de l'aide il nous faut les rapports des scan que tu as faits

 

Hijackthis

AVG

rootkit

ect...

 

A plus.

[frosties]

Rapport rootkit : vierge

 

Rapport AVG : RAS, des zéros partout

 

Rapport Ad-aware : rien, je le mets dessous

[frosties]

Rapport Ad-aware

 

 

Ad-Aware SE Build 1.06r1

Logfile Created on:mercredi 9 mai 2007 23:30:41

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R162 21.03.2007

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MRU List(TAC index:0):31 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan my Hosts file

 

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

 

 

09-05-2007 23:30:41 - Scan started. (Full System Scan)

 

MRU List Object Recognized!

Location: : C:\Documents and Settings\Sébastien\recent

Description : list of recently opened documents

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

 

 

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\internet explorer

Description : last download directory used in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\internet explorer\typedurls

Description : list of recently entered addresses in microsoft internet explorer

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\mediaplayer\medialibraryui

Description : last selected node in the microsoft windows media player media library

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\mediaplayer\player\recentfilelist

Description : list of recently used files in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\mediaplayer\player\settings

Description : last save as directory used in jasc paint shop pro

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\mediaplayer\preferences

Description : last playlist index loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-19\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\mediaplayer\preferences

Description : last playlist loaded in microsoft windows media player

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\microsoft management console\recent file list

Description : list of recent snap-ins used in the microsoft management console

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\office\11.0\powerpoint\recent file list

Description : list of recent files used by microsoft powerpoint

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\office\11.0\powerpoint\recent templates

Description : list of recent templates used by microsoft powerpoint

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\office\11.0\powerpoint\recenttemplatelist

Description : list of recent templates used by microsoft powerpoint

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list

Description : list of files recently opened using microsoft paint

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\regedit

Description : last key accessed using the microsoft registry editor

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list

Description : list of recent files opened using wordpad

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru

Description : mru list for items opened in start | run

 

 

MRU List Object Recognized!

Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

MRU List Object Recognized!

Location: : S-1-5-21-1482476501-117609710-725345543-1003\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

 

 

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

#:1 [smss.exe]

FilePath : \SystemRoot\System32\

ProcessID : 432

ThreadCreationTime : 09-05-2007 20:44:38

BasePriority : Normal

 

 

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 488

ThreadCreationTime : 09-05-2007 20:44:40

BasePriority : Normal

 

 

#:3 [winlogon.exe]

FilePath : \??\C:\WINDOWS\system32\

ProcessID : 512

ThreadCreationTime : 09-05-2007 20:44:40

BasePriority : High

 

 

#:4 [services.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 556

ThreadCreationTime : 09-05-2007 20:44:41

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Applications Services et Contrôleur

InternalName : services.exe

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : services.exe

 

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 568

ThreadCreationTime : 09-05-2007 20:44:41

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : lsass.exe

 

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 712

ThreadCreationTime : 09-05-2007 20:44:42

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:7 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 812

ThreadCreationTime : 09-05-2007 20:44:42

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 896

ThreadCreationTime : 09-05-2007 20:44:42

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:9 [avgcc.exe]

FilePath : C:\PROGRA~1\Grisoft\AVG7\

ProcessID : 1344

ThreadCreationTime : 09-05-2007 20:46:03

BasePriority : Normal

FileVersion : 7.5.0.438

ProductVersion : 7.5.0.438

ProductName : AVG Anti-Virus system

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Control Center

InternalName : AvgCC

LegalCopyright : Copyright © 2007 GRISOFT, s.r.o.

OriginalFilename : AvgCC.EXE

 

#:10 [vm_sti.exe]

FilePath : C:\WINDOWS\

ProcessID : 1352

ThreadCreationTime : 09-05-2007 20:46:04

BasePriority : Normal

FileVersion : 4.2.610.4

CompanyName : VM.

FileDescription : Still Image (STI) Driver

LegalCopyright : VM., 2002.

OriginalFilename : VM_STI.EXE

Comments : For Windows XP only

 

#:11 [spoolsv.exe]

FilePath : C:\WINDOWS\system32\

ProcessID : 1404

ThreadCreationTime : 09-05-2007 20:46:10

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : spoolsv.exe

 

#:12 [dslmon.exe]

FilePath : C:\Program Files\SAGEM\SAGEM F@st 800-840\

ProcessID : 1440

ThreadCreationTime : 09-05-2007 20:46:13

BasePriority : Normal

FileVersion : 1, 0, 0, 1

ProductVersion : 1, 0, 0, 1

ProductName : DSLMON Application

FileDescription : ADIMON MFC Application

InternalName : DSLMON

LegalCopyright : Copyright © 2000

OriginalFilename : ADIMON.EXE

 

#:13 [avgupsvc.exe]

FilePath : C:\PROGRA~1\Grisoft\AVG7\

ProcessID : 1588

ThreadCreationTime : 09-05-2007 20:46:24

BasePriority : Normal

FileVersion : 7.5.0.420

ProductVersion : 7.5.0.420

ProductName : AVG 7.5 Anti-Virus System

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Update Service

InternalName : avgupsvc

LegalCopyright : Copyright © 2006 GRISOFT, s.r.o.

OriginalFilename : avgupdsvc.EXE

 

#:14 [svchost.exe]

FilePath : C:\WINDOWS\System32\

ProcessID : 1668

ThreadCreationTime : 09-05-2007 20:46:27

BasePriority : Normal

FileVersion : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 5.1.2600.2180

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

LegalCopyright : © Microsoft Corporation. All rights reserved.

OriginalFilename : svchost.exe

 

#:15 [avgwb.dat]

FilePath : C:\PROGRA~1\Grisoft\AVG7\

ProcessID : 904

ThreadCreationTime : 09-05-2007 21:12:33

BasePriority : Normal

FileVersion : 7.5.0.438

ProductVersion : 7.5.0.438

ProductName : AVG Anti-Virus system

CompanyName : GRISOFT, s.r.o.

FileDescription : AVG Basic Interface

InternalName : avgwb

LegalCopyright : Copyright © 2007 GRISOFT, s.r.o.

OriginalFilename : AVGWB.EXE

 

#:16 [explorer.exe]

FilePath : C:\WINDOWS\

ProcessID : 944

ThreadCreationTime : 09-05-2007 21:27:02

BasePriority : Normal

FileVersion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)

ProductVersion : 6.00.2900.2180

ProductName : Système d'exploitation Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Explorateur Windows

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Tous droits réservés.

OriginalFilename : EXPLORER.EXE

 

#:17 [ad-aware.exe]

FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\

ProcessID : 1692

ThreadCreationTime : 09-05-2007 21:29:58

BasePriority : Normal

FileVersion : 6.2.0.236

ProductVersion : SE 106

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

LegalCopyright : Copyright © Lavasoft AB Sweden

OriginalFilename : Ad-Aware.exe

Comments : All Rights Reserved

 

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

 

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

 

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for C:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

Deep scanning and examining files (D:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Disk Scan Result for D:\

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

 

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 31

 

 

 

 

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

 

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 31

 

23:41:22 Scan Complete

 

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:10:40.891

Objects scanned:109375

Objects identified:0

Objects ignored:0

New critical objects:0

[frosties]

Rapport spybot

 

Smitfraud toolbar 888 détecté

 

--- Search result list ---

Smitfraud-C.Toolbar888: Réglages (Clé du registre, nothing done)

HKEY_USERS\S-1-5-21-1482476501-117609710-725345543-1003\Software\Microsoft\aldd

 

Smitfraud-C.Toolbar888: Réglages (Clé du registre, nothing done)

HKEY_LOCAL_MACHINE\SOFTWARE\Araf15

 

(j'ai le rapport complet si besoin mais il est immense...)

 

Rapport Hijackthis

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 00:18:34, on 10/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\VM_STI.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

J:\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {074FD240-1F5E-41C9-8D74-785FB6226B04} - C:\WINDOWS\system32\timphmhk.dll (file missing)

O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\sstqrst.dll

O2 - BHO: (no name) - {3E55E199-2316-4A0F-B162-6DB79C7EC50E} - C:\WINDOWS\system32\vtutq.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\thjswfas.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {91CA16A1-AC27-407B-93F1-E710C101BBB7} - C:\WINDOWS\system32\vtutt.dll (file missing)

O2 - BHO: (no name) - {AACFFEB7-95F9-47D3-BBB9-D1A233317ADF} - C:\WINDOWS\system32\mljgf.dll (file missing)

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x

O4 - HKLM\..\Run: [soundService] rundll32.exe "C:\WINDOWS\System32\crcpeefs.dll",setvm

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')

O4 - HKUS\S-1-5-21-1482476501-117609710-725345543-1003\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\netfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\netfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: mljgf - C:\WINDOWS\system32\mljgf.dll (file missing)

O20 - Winlogon Notify: sstqrst - C:\WINDOWS\SYSTEM32\sstqrst.dll

O20 - Winlogon Notify: vtutq - C:\WINDOWS\system32\vtutq.dll

O20 - Winlogon Notify: vtutt - C:\WINDOWS\system32\vtutt.dll (file missing)

O20 - Winlogon Notify: yayyawt - C:\WINDOWS\SYSTEM32\yayyawt.dll

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Network Neighborhood - {9F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Microsoft Internet Connection Sharing (Microsoft Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\alg.exe (file missing)

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe (file missing)

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 8010 bytes

[regis56]

Salut !

 

eh ben ! rien que ca ! ton système est multiinfecté !

 

Sauvegarde tes documents importants on ne sait jamais.

 

Ensuite :

 

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer
  
• Clique sur le bouton Scan for Vundo
  
• Lorsque le scan est complété, clique sur le bouton Remove Vundo
  
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
  
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  
• Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse
  

Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".

 

A plus.

[frosties]

Scan vundo effectué...

 

Et voila le nouveau rapport Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 23:45:17, on 10/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\WINDOWS\VM_STI.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

J:\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {074FD240-1F5E-41C9-8D74-785FB6226B04} - C:\WINDOWS\system32\timphmhk.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {91CA16A1-AC27-407B-93F1-E710C101BBB7} - C:\WINDOWS\system32\vtutt.dll (file missing)

O2 - BHO: (no name) - {AACFFEB7-95F9-47D3-BBB9-D1A233317ADF} - C:\WINDOWS\system32\mljgf.dll (file missing)

O2 - BHO: (no name) - {DAD37765-1EFE-4D82-BCBA-6D6DB69B4CE8} - C:\WINDOWS\system32\vtutq.dll (file missing)

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x

O4 - HKLM\..\Run: [soundService] rundll32.exe "C:\WINDOWS\System32\crcpeefs.dll",setvm

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\netfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\netfilter.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\qzzza.dll

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O20 - Winlogon Notify: mljgf - C:\WINDOWS\system32\mljgf.dll (file missing)

O20 - Winlogon Notify: vtutt - C:\WINDOWS\system32\vtutt.dll (file missing)

O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Network Neighborhood - {9F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file)

O23 - Service: avgav.exe (AVG) - Unknown owner - C:\WINDOWS\avgav.exe (file missing)

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Microsoft Internet Connection Sharing (Microsoft Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\alg.exe (file missing)

O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: JPEG Image Optimisation Installation Driver (RegEditor) - Unknown owner - C:\WINDOWS\installdmr.exe (file missing)

O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

 

--

End of file - 7409 bytes

[regis56]

Salut !

 

Tu as oublié de mettre le rapport !

 

Copie/colle le contenu du rapport situé dans C:\vundofix.txt

A plus.

[frosties]

Salut !

 

Tu as oublié de mettre le rapport !

 

Copie/colle le contenu du rapport situé dans C:\vundofix.txt

A plus.

Je ne peux pas !!!

 

Le copier-coller est désactivé, et le glisser-déplacer aussi.

 

Le scan tourne depuis ma clef usb, mais le rapport se met sur le disque dur.

[regis56]

RE

 

AS tu essayé de faire ctrl+c pour copier et ctrl+v pour coller ?