Fichiers TMPxx.tmp

[Mac Fly]

depuis que j'ai installé antivir, et bien j'ai souvent 2 alertes qui arrivent en meme temps pour chaque fois un fichier tmp.tmp

 

En fait il y a toujours un fichier mais il me met 2 alertes pour le prix d'une, alors je fais DELETE mais bon apres ça revient 5 minutes ou 20 minutes après.

 

J'ai fais une analyse avec spybot, ad aware mais ça revient assez souvent, à la limite il faudrait que quand antivir le détecte qu'il le supprime automatiquement pcq à force de cliquer tjs sur delete ça devient chiant.

 

A titre d'exemple le dernier détecté était

 

 

Virus or unwanted program 'VBS/Click.A [VBS/Click.A]'

detected in file 'C:\Documents and Settings\Max.XPSP2-E894371D0\Local Settings\Temp\tmpCA5.tmp.

Action performed: Delete file

 

mais bon, je sais que ce connard reviendra

Modifié le 1 janvier 2008 par Mac Fly

[Mac Fly]

en complément je met le log HIJACK

 

mais bon je pense qu'il est clean.

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:36:36, on 01/01/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\USRobotics\Wireless USB Manager\USR54G.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: USRobotics Wireless USB Adapter.lnk = C:\Program Files\USRobotics\Wireless USB Manager\USR54G.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O21 - SSODL: alxvdvm - {D54330B3-FA9A-43C5-8F8A-FB1A08F8A4DB} - C:\WINDOWS\alxvdvm.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: StarOpen - Avira GmbH - (no file)

 

--

End of file - 3630 bytes

[angelique]

nan , il est pas clean

 

O21 - SSODL: alxvdvm - {D54330B3-FA9A-43C5-8F8A-FB1A08F8A4DB} - C:\WINDOWS\alxvdvm.dll

 

http://www.bleepingcomputer.com/startups/a....dll-21067.html

 

**donc lance HJT "do a system scan only", coche uniquement et clic fixchecked:

 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O21 - SSODL: alxvdvm - {D54330B3-FA9A-43C5-8F8A-FB1A08F8A4DB} - C:\WINDOWS\alxvdvm.dll

 

**Télécharge http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe sur ton Bureau.

 

Double-clique sur OTMoveIt.exe pour le lancer.

Assure toi que la case "Unregister Dll's and Ocx's" soit bien cochée !!!

Copie le texte qui se trouve dans l'encadré ci-dessous, et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved.

 

C:\WINDOWS\alxvdvm.dll

 

clic MoveIt

 

**Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire en c:\SDFix.

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8 ; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

 

 

* Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script.

* Appuie sur Y pour commencer le processus de nettoyage.

* Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.(laisse le s'executer sans rien toucher!!)

* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.(ne touche à rien!!laisse le faire)

* Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

* Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum avec un nouveau rapport HJT

[Mac Fly]

merci je vais faire tout ça.

 

 

 

 

 

 

McFly

[Mac Fly]

Voilà le résultat

 

 

 

 

 

SDFix: Version 1.121

 

Run by Max on 01/01/2008 at 16:27

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\SDFix\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Default HomePage Value

Restoring Default Desktop Components Value

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\DOCUME~1\MAX~1.XPS\LOCALS~1\Temp\ac8zt2.dat - Deleted

C:\WINDOWS\fvkwdrt.exe - Deleted

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-01 16:40:39

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:47,90,11,db,29,43,3f,e4,ec,47,69,b4,7f,e7,7c,1d,be,de,f6,8b,38,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"khjeh"=hex:c6,ac,40,b8,f9,3f,8a,dd,b9,e2,94,7d,8c,33,c3,c3,60,29,77,64,45,..

"a0"=hex:20,01,00,00,c9,3a,76,74,c6,c1,82,f8,a9,79,29,8f,f7,0f,7f,fb,ff,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:84,d6,25,ff,6c,2a,1b,17,b9,6e,08,e4,2b,b4,1d,81,f0,fe,35,0d,e3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:47,90,11,db,29,43,3f,e4,ec,47,69,b4,7f,e7,7c,1d,be,de,f6,8b,38,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"khjeh"=hex:c6,ac,40,b8,f9,3f,8a,dd,b9,e2,94,7d,8c,33,c3,c3,60,29,77,64,45,..

"a0"=hex:20,01,00,00,c9,3a,76,74,c6,c1,82,f8,a9,79,29,8f,f7,0f,7f,fb,ff,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:84,d6,25,ff,6c,2a,1b,17,b9,6e,08,e4,2b,b4,1d,81,f0,fe,35,0d,e3,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 27

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Bureau\\utorrent.exe"="C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Bureau\\utorrent.exe:*:Enabled:æTorrent"

"C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Mes documents\\utorrent.exe"="C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Mes documents\\utorrent.exe:*:Enabled:æTorrent"

"E:\\limewire\\LimeWire.exe"="E:\\limewire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Mes documents\\PROGRAMMES ET UTILITAIRE ----------------------\\utorrent.exe"="C:\\Documents and Settings\\Max.XPSP2-E894371D0\\Mes documents\\PROGRAMMES ET UTILITAIRE ----------------------\\utorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\PPMate\\ppmate.exe"="C:\\Program Files\\PPMate\\ppmate.exe:*:Enabled:PPMate"

"C:\\Program Files\\PPMate\\ppmnet.exe"="C:\\Program Files\\PPMate\\ppmnet.exe:*:Enabled:PPMate"

"C:\\Program Files\\uusee\\UUSeePlayer.exe"="C:\\Program Files\\uusee\\UUSeePlayer.exe:*:Enabled:UUPlayer"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"C:\\Program Files\\PPMate\\ppamnet.exe"="C:\\Program Files\\PPMate\\ppamnet.exe:*:Enabled:PPMate"

"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"E:\\FM2008\\fm.exe"="E:\\FM2008\\fm.exe:*:Disabled:Football Manager 2008"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files:

---------------

 

File Backups: - C:\SDFix\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

Wed 25 Apr 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\DRMv1.bak"

Mon 30 Apr 2007 0 A.SH. --- "C:\Documents and Settings\All Users.WINDOWS\DRM\Cache\Indiv01.tmp"

Fri 14 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\825602f548d54de494879712d10e8261\BIT4.tmp"

Fri 14 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cc102203f99c8c6ebf1523556f8411b6\BIT5.tmp"

 

Finished!

[Mac Fly]

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-01 16:40:39

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

IPC error: 2 Le fichier spécifié est introuvable.

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:47,90,11,db,29,43,3f,e4,ec,47,69,b4,7f,e7,7c,1d,be,de,f6,8b,38,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"khjeh"=hex:c6,ac,40,b8,f9,3f,8a,dd,b9,e2,94,7d,8c,33,c3,c3,60,29,77,64,45,..

"a0"=hex:20,01,00,00,c9,3a,76,74,c6,c1,82,f8,a9,79,29,8f,f7,0f,7f,fb,ff,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:84,d6,25,ff,6c,2a,1b,17,b9,6e,08,e4,2b,b4,1d,81,f0,fe,35,0d,e3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:47,90,11,db,29,43,3f,e4,ec,47,69,b4,7f,e7,7c,1d,be,de,f6,8b,38,..

"p0"="C:\Program Files\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001]

"khjeh"=hex:c6,ac,40,b8,f9,3f,8a,dd,b9,e2,94,7d,8c,33,c3,c3,60,29,77,64,45,..

"a0"=hex:20,01,00,00,c9,3a,76,74,c6,c1,82,f8,a9,79,29,8f,f7,0f,7f,fb,ff,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4000001Jf40]

"khjeh"=hex:84,d6,25,ff,6c,2a,1b,17,b9,6e,08,e4,2b,b4,1d,81,f0,fe,35,0d,e3,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 27

[angelique]

ok comment se comporte ton pc desormais??

 

*** Fais un scan en ligne Kaspersky

 

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

 

* Clique sur Accept

* Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.

* clique une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patiente un moment

* Clique sur Next.

* Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

Poste le rapport qui en génere.

[Mac Fly]

Assez bien je pense, aussi j'ai oublié de préciser qu'après le mode sans échec quand XP s'est relancé antivir m'as détecté un truc du style Nvgsfksrh.dll

si jme souviens bien. Ensuite ça va l'alerte ne revient plus.

j'vais faire le scan en ligne kaspersky je poste le truc apres