Probleme message erreur, PC ralentie, creation fichier TMP en quantité

[Full metal]

Voila pour la premiere partie de se que tu a demander

 

Rapport BTFix avant

 

 

BTFix 1.075 (par bibi26) - 10/02/2008 19:40:27 - Analyse

Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix\BTFix.exe

 

---> Fichiers/Dossiers trouvés

 

- [Heuristique : Hotbar] C:\WINDOWS\system32\prmihurv.exe

- C:\WINDOWS\Downloaded Program Files\HbTools.inf

- C:\WINDOWS\Downloaded Program Files\HbInstIE.dll

- C:\WINDOWS\system32\f3PSSavr.scr

- C:\Program Files\MyWebSearch\

- C:\Program Files\MySearch\

- C:\Program Files\Hotbar\

- C:\Program Files\FunWebProducts\

- C:\Program Files\Mozilla Firefox\components\npclntax.xpt

- C:\Program Files\MSN Messenger\RICHED20.dll

- C:\Documents and Settings\Propriétaire\Application Data\Hotbar\

- C:\Documents and Settings\Propriétaire\Application Data\WeatherDPA\

- C:\Documents and Settings\All Users\Application Data\HotbarSA\

- C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65\

- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Hotbar\

- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk

- C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\MyWebSearch Email Plugin.lnk

 

---> Analyse terminée

 

Rapport BTFix apres

 

 

BTFix 1.075 (par bibi26) - 10/02/2008 19:50:13 - Nettoyage - Mode normal

Lancé depuis C:\Documents and Settings\Propriétaire\Bureau\BTFix\BTFix\BTFix.exe

 

---> Fichiers/dossiers supprimés (Première passe)

 

- Fichiers temporaires effacés

- C:\Program Files\MyWebSearch\bar\2.bin\ (erreur lors de la suppression)

- C:\Program Files\MyWebSearch\bar\ (erreur lors de la suppress

 

 

Il y a un probleme et BTFix ne peu pas tou netoyer sa bloque qur quelque chose du nom de WooCnxMon.

 

Pense tu que combofix sera long a faire une analyse ?

[pear]

Bonjour,

 

WooCnxMon fait partie du kit Wanadoo.Il n'est pas nécessaire au démarrage.

 

Je vous ai donné un lien qui explique comment ne pas installer tout la bazard d' Orange.

En particulier, quand oninstalle la livebox, avec le cd, il ne faut pas installer le Gestionnair Internet.

On y reviendra plus tard, si vous le souhaitez.

 

Pour l'instant,j'attends un nouveau rapport Hijackthis et le rapport Combofix.

 

Le temps du scan varie selon les installations et les infections(Vous en avez plusieurs)

Plus vous tardez, plus vous vous handicapez.

[Full metal]

Voila le rapport et dsl d'avoir etait long a repondre , sa a etait relativement vite pour le scan

 

Rapport Combofix

 

ComboFix 08-02-11.2 - Propriétaire 2008-02-11 14:19:43.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.457 [GMT 1:00]

Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

.

The following files were disabled during the run:

c:\windows\xxyywu.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Josette\Application Data\Hotbar

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\#SharedObjects\JKW8XJEB\iforex.com

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\#SharedObjects\JKW8XJEB\iforex.com\Emerp\Events\flash_object.swf\user_data.sol

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\#SharedObjects\JKW8XJEB\www.broadcaster.com

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com

C:\Documents and Settings\Propriétaire\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol

C:\Program Files\MyWebSearch

C:\Program Files\MyWebSearch\bar\2.bin\MWSOEPLG.DLL

C:\WINDOWS\cookies.ini

C:\WINDOWS\ssuwvw.ini

C:\WINDOWS\system32\jdkahyix.ini

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\ttstv.ini

C:\WINDOWS\system32\ttstv.ini2

C:\WINDOWS\system32\vista.log

C:\WINDOWS\system32\windows

C:\WINDOWS\system32\xkbnpseu.ini

C:\WINDOWS\system32\xthjouqo.ini

C:\WINDOWS\tmlpwin.exe

C:\WINDOWS\wvwuss.dll

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-11 to 2008-02-11 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-10 13:55 . 2008-02-10 14:36 <REP> d-------- C:\VundoFix Backups

2008-02-09 21:36 . 2008-02-09 21:36 <REP> d-------- C:\Program Files\Trend Micro

2008-02-09 21:35 . 2008-02-09 21:36 <REP> d-------- C:\Program Files\gihjhip

2008-02-09 10:24 . 2008-02-09 10:24 <REP> d-------- C:\Program Files\Sierra

2008-02-09 09:54 . 2008-02-09 09:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-08 22:22 . 2008-02-08 22:22 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-02-08 13:30 . 2008-02-08 13:52 7,168 --------- C:\WINDOWS\system32\WINDOWS.0

2008-02-03 12:16 . 2008-02-03 12:16 34 --a------ C:\WINDOWS\Kit.ini

2008-01-30 19:46 . 2008-01-30 19:47 1,791,606 ---hs---- C:\WINDOWS\system32\woavdilt.ini

2008-01-25 12:11 . 2008-01-25 12:17 <REP> d-------- C:\Program Files\Dofus

2008-01-20 00:06 . 2008-01-28 22:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-01-20 00:06 . 2008-01-20 00:06 1,409 --a------ C:\WINDOWS\QTFont.for

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Windows Live

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Messenger Plus! Live

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Circle Developement

2008-01-12 14:22 . 2008-01-12 14:22 <REP> d-------- C:\Documents and Settings\Josette\Application Data\ispnews

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-11 13:27 --------- d-----w C:\Program Files\Wanadoo

2008-02-10 18:45 --------- d-----w C:\Program Files\MSN Messenger

2008-02-09 09:24 --------- d-----w C:\Program Files\GameSpy Arcade

2008-02-08 11:46 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-03 13:11 --------- d-----w C:\Program Files\World of Warcraft

2008-01-14 21:09 --------- d-----w C:\Program Files\eMule

2007-12-26 12:49 --------- d-----w C:\Program Files\Red Kawa

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{283e8a1b-7ed9-47a9-a13e-0e8dea871240}]

C:\WINDOWS\system32\ghbrssae.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6324916-3E29-4BCC-85A1-DC7F50DBA297}]

C:\WINDOWS\system32\vtstt.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="00" []

"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

"Steam"="C:\Valve\Steam\Steam.exe" [2007-12-03 20:32 1266936]

"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 16:07 196608]

"Free Download Manager"="C:\Program Files\Free Download Manager\fdm.exe" [ ]

"checkdisk"="c:\windows\xxyywu.dll" [2006-06-23 13:27 10752]

"Flap16"="C:\DOCUME~1\PROPRI~1\APPLIC~1\THISWA~1\Poll Two.exe" [ ]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-09-29 17:10 190024]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-09-10 19:25 77824]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 16:04 52736]

"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 19:02 61440]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2004-01-27 23:52 229376]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43 233472]

"VTTimer"="VTTimer.exe" []

"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 08:06 88363 C:\WINDOWS\AGRSMMSG.exe]

"PS2"="C:\WINDOWS\system32\ps2.exe" [2003-09-12 19:13 98304]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-02-23 21:43 3026944]

"nwiz"="nwiz.exe" [2004-02-23 21:43 753664 C:\WINDOWS\system32\nwiz.exe]

"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 20:35 50176 C:\WINDOWS\ALCXMNTR.EXE]

"UpdateManager"="c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01 110592]

"Reminder"="C:\Windows\Creator\Remind_XP.exe" [2003-12-17 23:31 118784]

"EPSON Stylus CX3600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.exe" [2004-03-04 04:00 98304]

"CnxDslTaskBar"="C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe" [2005-03-16 17:14 278528]

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-10-08 10:52 221184]

"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 16:47 458752]

"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 16:37 217088]

"Software Keep Flag Wave"="C:\Documents and Settings\All Users\Application Data\PhoneRemoteSoftwareKeep\THUNKBYTE.exe" [ ]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-01-01 10:35 98304]

"NetService"="C:\WINDOWS\system32\ppnst.dll" [2007-10-02 18:23 60928]

"949664b2"="C:\WINDOWS\system32\oquojhtx.dll" [ ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_Dlls"=c:\windows\xxyywu.dll

 

R3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-03-16 17:10]

R3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-03-16 17:10]

R3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys [2005-03-16 17:10]

S3 jfdcd;jfdcd;C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\jfdcd.sys []

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-11 14:27:08

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

--------------------- DLLs a charg‚ sous des processus courants ---------------------

 

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]

-> c:\windows\xxyywu.dll

 

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]

-> c:\windows\xxyywu.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\gearsec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Internet Explorer\Services\run_mldonkey.exe

C:\Program Files\Internet Explorer\Services\mlnet.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\Program Files\Logitech\Video\FxSvr2.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-11 14:31:40 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-11 13:31:36

.

2008-01-09 21:52:09 --- E O F ---

 

 

 

Rapport hijackthis

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:35:11, on 11/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\gearsec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\jre1.6.0\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Logitech\Video\LogiTray.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Internet Explorer\Services\run_mldonkey.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\Services\mlnet.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: {042178ae-d8e0-e31a-9a74-9de7b1a8e382} - {283e8a1b-7ed9-47a9-a13e-0e8dea871240} - C:\WINDOWS\system32\ghbrssae.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: (no name) - {B6324916-3E29-4BCC-85A1-DC7F50DBA297} - C:\WINDOWS\system32\vtstt.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [updateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe" "Zhongxing\ZTE ZXDSL852"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [software Keep Flag Wave] C:\Documents and Settings\All Users\Application Data\PhoneRemoteSoftwareKeep\THUNKBYTE.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NetService] Rundll32.exe C:\WINDOWS\system32\ppnst.dll,Startup

O4 - HKLM\..\Run: [949664b2] rundll32.exe "C:\WINDOWS\system32\oquojhtx.dll",b

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [checkdisk] rundll32.exe "c:\windows\xxyywu.dll",DllRegisterServer

O4 - HKCU\..\Run: [Flap16] C:\DOCUME~1\PROPRI~1\APPLIC~1\THISWA~1\Poll Two.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BB224188-52BA-4006-9429-2C7E47EA975B} - http://scripts.dlv4.com/binaries/egaccess4..._1066_em_XP.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A632EB0-33F8-4431-AD84-82F676A76305}: NameServer = 80.10.246.130 81.253.149.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{1A632EB0-33F8-4431-AD84-82F676A76305}: NameServer = 80.10.246.130 81.253.149.10

O20 - AppInit_DLLs: c:\windows\xxyywu.dll

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 10723 bytes

 

 

Bonne analyse a toi , pour moi c'est toujours du chinoi

 

PS: C'est dans se fichier la que Antivir arrete pas de trouver un virus et qui fini par planetr le PC , le nom du virus commence par HEUR/...

The following files were disabled during the run:

c:\windows\xxyywu.dll

Modifié le 11 février 2008 par Full metal

[pear]

Bonjour,

 

PS: C'est dans se fichier la que Antivir arrete pas de trouver un virus et qui fini par planetr le PC , le nom du virus commence par HEUR/...

The following files were disabled during the run:

c:\windows\xxyywu.dll

Oui, je sais.

on s'en occupe maintenant.

 

Lancez Combofix.

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

 

Créez un nouveau document texte :

clic droit de souris sur le bureau >Nouveau >Document Texte,

copiez-y les lignes suivantes,et enregistrez ce fichier sous le nom CFScript.txt(sans le mot Citation):

 

file::

C:\WINDOWS\Kit.ini

C:\WINDOWS\system32\woavdilt.ini

c:\windows\xxyywu.dll

 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{283e8a1b-7ed9-47a9-a13e-0e8dea871240}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6324916-3E29-4BCC-85A1-DC7F50DBA297}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"checkdisk"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Flap16"=-

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_Dlls"=-

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"949664b2"=-

 

* Faites un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

Vous pouvez me dire ce qu'il y a la dedans:C:\Program Files\gihjhip

Modifié le 11 février 2008 par pear

[Full metal]

Le rapport

 

 

ComboFix 08-02-11.2 - Propriétaire 2008-02-11 21:18:01.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.521 [GMT 1:00]

Endroit: C:\Documents and Settings\Propriétaire\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Propriétaire\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

 

FILE

C:\WINDOWS\Kit.ini

C:\WINDOWS\system32\woavdilt.ini

c:\windows\xxyywu.dll

.

The following files were disabled during the run:

c:\windows\xxyywu.dll

 

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\Kit.ini

C:\WINDOWS\system32\woavdilt.ini

c:\windows\xxyywu.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-01-11 to 2008-02-11 ))))))))))))))))))))))))))))))))))))

.

 

2008-02-10 13:55 . 2008-02-10 14:36 <REP> d-------- C:\VundoFix Backups

2008-02-09 21:36 . 2008-02-09 21:36 <REP> d-------- C:\Program Files\Trend Micro

2008-02-09 21:35 . 2008-02-09 21:36 <REP> d-------- C:\Program Files\gihjhip

2008-02-09 10:24 . 2008-02-09 10:24 <REP> d-------- C:\Program Files\Sierra

2008-02-09 09:54 . 2008-02-09 09:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-02-08 22:22 . 2008-02-08 22:22 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-02-08 13:30 . 2008-02-08 13:52 7,168 --------- C:\WINDOWS\system32\WINDOWS.0

2008-01-25 12:11 . 2008-01-25 12:17 <REP> d-------- C:\Program Files\Dofus

2008-01-20 00:06 . 2008-01-28 22:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-01-20 00:06 . 2008-01-20 00:06 1,409 --a------ C:\WINDOWS\QTFont.for

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Windows Live

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Messenger Plus! Live

2008-01-19 20:57 . 2008-01-19 20:57 <REP> d-------- C:\Program Files\Circle Developement

2008-01-12 14:22 . 2008-01-12 14:22 <REP> d-------- C:\Documents and Settings\Josette\Application Data\ispnews

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-11 20:23 --------- d-----w C:\Program Files\Wanadoo

2008-02-10 18:45 --------- d-----w C:\Program Files\MSN Messenger

2008-02-09 09:24 --------- d-----w C:\Program Files\GameSpy Arcade

2008-02-08 11:46 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-03 13:11 --------- d-----w C:\Program Files\World of Warcraft

2008-01-14 21:09 --------- d-----w C:\Program Files\eMule

2007-12-26 12:49 --------- d-----w C:\Program Files\Red Kawa

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="00" []

"WOOKIT"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

"Steam"="C:\Valve\Steam\Steam.exe" [2007-12-03 20:32 1266936]

"LogitechSoftwareUpdate"="C:\Program Files\Logitech\Video\ManifestEngine.exe" [2005-01-18 16:07 196608]

"Free Download Manager"="C:\Program Files\Free Download Manager\fdm.exe" [ ]

"Flap16"="C:\DOCUME~1\PROPRI~1\APPLIC~1\THISWA~1\Poll Two.exe" [ ]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:09 15360]

"MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-09-29 17:10 190024]

"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [2007-09-10 19:25 77824]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 16:04 52736]

"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 19:02 61440]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2004-01-27 23:52 229376]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2004-04-14 21:43 233472]

"VTTimer"="VTTimer.exe" []

"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 08:06 88363 C:\WINDOWS\AGRSMMSG.exe]

"PS2"="C:\WINDOWS\system32\ps2.exe" [2003-09-12 19:13 98304]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-02-23 21:43 3026944]

"nwiz"="nwiz.exe" [2004-02-23 21:43 753664 C:\WINDOWS\system32\nwiz.exe]

"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 20:35 50176 C:\WINDOWS\ALCXMNTR.EXE]

"UpdateManager"="c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" [2003-08-19 01:01 110592]

"Reminder"="C:\Windows\Creator\Remind_XP.exe" [2003-12-17 23:31 118784]

"EPSON Stylus CX3600 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.exe" [2004-03-04 04:00 98304]

"CnxDslTaskBar"="C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe" [2005-03-16 17:14 278528]

"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 14:49 20480]

"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 16:55 32768]

"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-10-08 10:52 221184]

"LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2005-01-18 16:47 458752]

"LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2005-01-18 16:37 217088]

"Software Keep Flag Wave"="C:\Documents and Settings\All Users\Application Data\PhoneRemoteSoftwareKeep\THUNKBYTE.exe" [ ]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2004-01-01 10:35 98304]

"NetService"="C:\WINDOWS\system32\ppnst.dll" [2007-10-02 18:23 60928]

"949664b2"="C:\WINDOWS\system32\oquojhtx.dll" [ ]

 

R3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys [2005-03-16 17:10]

R3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys [2005-03-16 17:10]

R3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys [2005-03-16 17:10]

S3 jfdcd;jfdcd;C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\jfdcd.sys []

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-04 06:58]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 07:08]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-11 21:24:04

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\gearsec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Internet Explorer\Services\run_mldonkey.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\Internet Explorer\Services\mlnet.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Logitech\Video\FxSvr2.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-02-11 21:28:52 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-11 20:28:48

ComboFix2.txt 2008-02-11 13:31:41

.

2008-01-09 21:52:09 --- E O F ---

 

 

dans:C:\Program Files\gihjhip il y a juste HJTInstall.exe

[pear]

Bonsoir,

 

C:\Program Files\gihjhip il y a juste HJTInstall.exe

 

Je devrais me giffler pour cela

C'est moi qui vous l'ai demandé.

 

J'avais demandé un rapport Hijackthis ou je fatigue ?

 

Eh, non.Je n'avais pas demandé.

 

Faites en un, svp.

Modifié le 11 février 2008 par pear

[Full metal]

Voila le rapport

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:50:06, on 12/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\gearsec.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\jre1.6.0\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE

C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\Program Files\Logitech\Video\LogiTray.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.exe

C:\Program Files\Internet Explorer\Services\run_mldonkey.exe

C:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

C:\Program Files\Internet Explorer\Services\mlnet.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\PROGRA~1\Wanadoo\Watch.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST1.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\MSN Toolbar1.02.5000.1021\fr\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [updateManager] "c:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"

O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Zhongxing\ZTE ZXDSL852\CnxDslTb.exe" "Zhongxing\ZTE ZXDSL852"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [software Keep Flag Wave] C:\Documents and Settings\All Users\Application Data\PhoneRemoteSoftwareKeep\THUNKBYTE.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NetService] Rundll32.exe C:\WINDOWS\system32\ppnst.dll,Startup

O4 - HKLM\..\Run: [949664b2] rundll32.exe "C:\WINDOWS\system32\oquojhtx.dll",b

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [Flap16] C:\DOCUME~1\PROPRI~1\APPLIC~1\THISWA~1\Poll Two.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BB224188-52BA-4006-9429-2C7E47EA975B} - http://scripts.dlv4.com/binaries/egaccess4..._1066_em_XP.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A632EB0-33F8-4431-AD84-82F676A76305}: NameServer = 80.10.246.130 81.253.149.10

O17 - HKLM\System\CS1\Services\Tcpip\..\{1A632EB0-33F8-4431-AD84-82F676A76305}: NameServer = 80.10.246.130 81.253.149.10

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Service de sécurité matérielle (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 10372 bytes

[pear]

Bonjour,

 

Un petit oubli.Je devais vraiment être fatigué .

 

Copiez collez dans le bloc notes,sans ligne vierge au début,

Enregistrez sous un nom quelconque avec extension.reg,

Fusionnez (Clic droit sur le fichier .reg)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"949664b2"=-

 

lancez Hijackthis , cochez ces lignes et cliquez sur fix checked.

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll => Yahoo Companion!

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE => Realtek PilotesAC97.Spy

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe => Logitech Desktop Messenger

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Program Files\AWS\WeatherBug\Weather.exe (file missing) (HKCU)

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime => Apple Quick Time

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background => Microsoft Network Messenger

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL') => Microsoft Windows NT

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU') => Microsoft Windows NT

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe => Adobe Acrobat Reader

 

Je ne vois aucune protection:Parefeu, Antivirus, Antispyware.

 

Vider la corbeille.

 

* Faire un scan en ligne Kaspersky

http://www.kaspersky.com/kos/eng/partner/d...kavwebscan.html

* Cliquer sur Accept

* Une barre jaune va demander d'accepter l'installation de Kavwebscan_Unicode.cab, installer l'Active X.

* cliquer une nouvelle fois sur "Accept"

* Les bases de mises à jour vont s'installer, patienter un moment

* Cliquer sur Next.

* Cliquer sur My Computer, le scan se met en route;

attendre la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

 

 

A la fin du scan, si des objets infectés sont découverts, cliquer sur Save report as... Choisirr bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisir "fichiers texte" enregistrer le rapport.

Copier/coller l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Coller ce rapport dans la réponse sur le forum.

Aide en cas de problème :Cybersécurité

http://cybersecurite.xooit.com/t100-Scan-e...spersky.htm#768

NOTE: Le scan est à faire avec Internet Explorer.

 

Et un rapport Hijackthis.

Modifié le 12 février 2008 par pear

[Full metal]

Bonjour,

 

Un petit oubli.Je devais vraiment être fatigué .

 

Copiez collez dans le bloc notes,sans ligne vierge au début,

Enregistrez sous un nom quelconque avec extension.reg,

Fusionnez (Clic droit sur le fichier .reg)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"949664b2"=-

 

Le bloc note je le crée ou ?

[pear]

Le bloc note je le crée ou ?

 

N'en faites rien.

On l' avait fait partiellement, mais en vain dans Combofix.

On va recommencer en mode sans échec.

Choisissez le compte Administrateur.

 

 

Lancez Combofix.

# Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

 

Créez un nouveau document texte :

clic droit de souris sur le bureau >Nouveau >Document Texte,

 

copiez-y les lignes suivantes,et enregistrez ce fichier sous le nom CFScript.txt(sans le mot Citation):

file::C:\WINDOWS\system32\oquojhtx.dll

 

Registry::

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"949664b2"=-

 

* Faites un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

*

* Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

* Patienter le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poster son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

En cas d'échec relancez la procédure en mode normal.

 

Repostez un Hijackthis.

Modifié le 12 février 2008 par pear