Pop up diverses et pop up securité windows

Recane · le 17 mars 2008

Bonjour depuis peu je pense être infecté, des pop up apparaissent constemment ainsi que des messages me proposants de telecharger un anti spyware(le pop up dit que je suis infecté)

Je n'ose pas le telecharger par peur que ce soit un virus

Je vous donne donc mon rapport Hijack que je suis incapable de lire

J'espere que vous pourrez m'aider!

Merci d'avance

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:46:00, on 17/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

D:\Logiciels\AD AWARE\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

D:\Logiciels\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Club-Internet\Agent Wifi\AgentWifi .exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

D:\Logiciels\Azureus\Azureus.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

F3 - REG:win.ini: load=C:\WINDOWS\system32\mllji.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {9DEA0F15-7ABE-4549-8B95-39E4DBD5793E} - (no file)

O2 - BHO: {d4ddbe37-0fc1-b08b-d244-85f0c09664f9} - {9f46690c-0f58-442d-b80b-1cf073ebdd4d} - (no file)

O2 - BHO: (no name) - {FA16FE06-B462-470E-9653-79C54B1871FF} - (no file)

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [MPSWiFiManager] C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe

O4 - HKLM\..\Run: [c421b85b] rundll32.exe "C:\WINDOWS\system32\thqtcnvw.dll",b

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [DAEMON Tools] "D:\Logiciels\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Logiciels\Adobe\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "D:\Logiciels\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU\..\Run: [steam] "D:\Jeux\Steam\Steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Club Internet.lnk = C:\Program Files\Club-Internet\Lanceur\lanceur.exe

O4 - Startup: MagicDisc.lnk = C:\Program Files\MagicDisc\MagicDisc.exe

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/Facebo...toUploader3.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1198500233546

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1198501940640

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O20 - Winlogon Notify: jkkhigf - jkkhigf.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Logiciels\AD AWARE\aawservice.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - D:\Logiciels\3D Studio Max 9 + Tutorials and Keygen\mentalray\satellite\raysat_3dsmax9_32server.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--

End of file - 8242 bytes

Thanos · le 17 mars 2008

salut et bienvenue @ toi

Télécharge combofix.exe de sUBs

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

Recane · le 17 mars 2008

merci beaucoup de ta reponse rapide Thanos, alors voilà la log

ComboFix 08-03-17.1 - DE LA BONNE KAM 2008-03-18 0:16:20.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1489 [GMT 1:00]

Endroit: C:\Documents and Settings\DE LA BONNE KAM\Local Settings\Temporary Internet Files\Content.IE5\QMM3NQCE\ComboFix[1].exe

* Création d'un nouveau point de restauration

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\Documents and Settings\DE LA BONNE KAM\Local Settings\Application Data\hbunoicv.dat

c:\documents and settings\de la bonne kam\local settings\application data\hbunoicv.exe

c:\Documents and Settings\DE LA BONNE KAM\Local Settings\Application Data\hbunoicv_nav.dat

c:\Documents and Settings\DE LA BONNE KAM\Local Settings\Application Data\hbunoicv_navps.dat

C:\WINDOWS\system32\ijllm.ini

C:\WINDOWS\system32\ijllm.ini2

C:\WINDOWS\system32\mcrh.tmp

F:\Autorun.inf

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-17 to 2008-03-17 ))))))))))))))))))))))))))))))))))))

.

2008-03-17 23:58 . 2008-03-17 23:58 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-03-17 23:58 . 2008-03-18 00:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-03-17 23:45 . 2008-03-17 23:45 <REP> d-------- C:\Program Files\Trend Micro

2008-03-17 23:30 . 2008-03-17 23:46 <REP> d-------- C:\WINDOWS\BDOSCAN8

2008-03-17 20:13 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys

2008-03-17 08:55 . 2008-03-17 08:55 <REP> d-------- C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-03-14 22:34 . 2008-03-14 22:34 <REP> d-------- C:\Program Files\Orban

2008-03-12 17:59 . 2008-03-12 18:01 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Autodesk

2008-03-12 17:57 . 2008-03-12 18:00 <REP> d-------- C:\Program Files\Fichiers communs\Autodesk Shared

2008-03-12 17:57 . 2008-03-12 18:00 <REP> d-------- C:\Program Files\Autodesk

2008-03-12 17:53 . 2008-03-12 17:53 <REP> d-------- C:\Program Files\MagicDisc

2008-03-12 17:53 . 2008-02-18 17:29 96,256 --a------ C:\WINDOWS\system32\drivers\mcdbus.sys

2008-03-12 08:30 . 2008-03-12 08:30 25 --a------ C:\WINDOWS\mem.vbs

2008-03-05 18:36 . 2008-03-05 18:36 <REP> d-------- C:\Documents and Settings\DE LA BONNE KAM\Application Data\Ubisoft

2008-03-05 18:36 . 2008-03-05 18:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Ubisoft

2008-03-02 01:06 . 2008-03-02 01:06 <REP> d-------- C:\Program Files\iPod

2008-02-22 17:34 . 2008-02-22 17:34 <REP> dr-h----- C:\Documents and Settings\DE LA BONNE KAM\Application Data\SecuROM

2008-02-22 17:23 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll

2008-02-22 17:23 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll

2008-02-22 17:23 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

2008-02-22 17:23 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll

2008-02-22 17:23 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll

2008-02-22 17:18 . 2008-02-22 17:18 <REP> d-------- C:\Documents and Settings\DE LA BONNE KAM\Application Data\InstallShield

2008-02-21 18:05 . 2008-02-21 18:06 <REP> d-------- C:\Program Files\ET Starter Pro

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-17 23:15 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\Azureus

2008-03-17 17:17 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\AVG7

2008-03-17 16:50 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\Shareaza

2008-03-10 18:42 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-03-02 00:06 --------- d-----w C:\Program Files\QuickTime

2008-02-21 17:42 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-02-16 19:32 --------- d-----w C:\Program Files\DivX

2008-02-14 09:21 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\MPEG Streamclip

2008-02-12 18:38 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\Apple Computer

2008-02-06 13:23 --------- d-----w C:\Documents and Settings\DE LA BONNE KAM\Application Data\Xfire

2008-02-01 22:17 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-01-28 20:23 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-01-28 15:10 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-25 12:59 --------- d-----w C:\Program Files\Fichiers communs\Adobe Systems Shared

2008-01-25 12:59 --------- d-----w C:\Documents and Settings\All Users\Application Data\Adobe Systems

2008-01-25 12:44 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys

2008-01-23 17:48 --------- d-----w C:\Documents and Settings\LocalService\Application Data\Xfire

2008-01-21 21:35 --------- d-----w C:\Documents and Settings\NetworkService\Application Data\Xfire

.

<pre>
----a-w		   868,352 2008-01-09 17:21:34  C:\Program Files\Analog Devices\Core\smax4pnp .exe
----a-w		   376,912 2008-01-09 17:21:36  C:\Program Files\BroadJump\Client Foundation\CFD .exe
----a-w		   135,168 2008-01-09 17:27:43  C:\Program Files\Club-Internet\Agent Wifi\AgentWifi .exe
----a-w		   132,496 2008-01-09 17:21:38  C:\Program Files\Java\jre1.6.0_02\bin\jusched .exe
----a-w		 1,694,208 2008-01-09 17:21:41  C:\Program Files\Messenger\msmsgs .exe
----a-w		   286,720 2008-01-04 18:00:32  C:\Program Files\QuickTime\QTTask	 .exe
----a-w		   159,744 2008-01-09 17:21:35  C:\Program Files\Razer\DeathAdder\razerhid .exe
----a-w			36,864 2008-01-04 18:00:30  C:\WINDOWS\RaidTool\xInsIDE .exe
----a-w			15,360 2008-01-05 12:36:06  C:\WINDOWS\system32\ctfmon .exe
----a-w		 1,953,792 2008-01-05 17:43:55  C:\WINDOWS\system32\xRaidSetup .exe
</pre>

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9DEA0F15-7ABE-4549-8B95-39E4DBD5793E}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9f46690c-0f58-442d-b80b-1cf073ebdd4d}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA16FE06-B462-470E-9653-79C54B1871FF}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"JMB36X IDE Setup"="C:\WINDOWS\RaidTool\xInsIDE.exe" [ ]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-09 08:36 8527872]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-09 08:36 81920]

"MPSWiFiManager"="C:\Program Files\Club-Internet\Agent Wifi\AgentWifi.exe" [ ]

"c421b85b"="C:\WINDOWS\system32\thqtcnvw.dll" [ ]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-11 08:08 579072]

"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-05 13:00 160768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-09 18:24 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkhigf]

jkkhigf.dll

[HKLM\~\startupfolder\C:^Documents and Settings^DE LA BONNE KAM^Menu Démarrer^Programmes^Démarrage^Adobe Gamma.lnk]

path=C:\Documents and Settings\DE LA BONNE KAM\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk

backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^DE LA BONNE KAM^Menu Démarrer^Programmes^Démarrage^MagicDisc.lnk]

path=C:\Documents and Settings\DE LA BONNE KAM\Menu Démarrer\Programmes\Démarrage\MagicDisc.lnk

backup=C:\WINDOWS\pss\MagicDisc.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-05-11 03:06 40048 D:\Logiciels\Adobe\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]

-ra------ 2007-03-01 10:37 2321600 C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2004-08-05 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2006-11-12 11:48 157592 D:\Logiciels\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-02-19 13:10 267048 D:\Logiciels\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

C:\WINDOWS\system32\mllji.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 11:34 5724184 C:\Program Files\Windows Live\Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2007-10-09 08:36 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-01-31 23:13 385024 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a------ 2008-03-13 18:04 1266936 D:\Jeux\Steam\Steam.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\WINDOWS\\system32\\mmc.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"D:\\Logiciels\\Azureus\\Azureus.exe"=

"D:\\Jeux\\Atari\\Neverwinter Nights 2\\nwn2main.exe"=

"D:\\Jeux\\Atari\\Neverwinter Nights 2\\nwn2main_amdxp.exe"=

"D:\\Jeux\\Atari\\Neverwinter Nights 2\\nwupdate.exe"=

"D:\\Jeux\\Atari\\Neverwinter Nights 2\\nwn2server.exe"=

"D:\\Logiciels\\Wolfenstein - Enemy Territory\\ET.exe"=

"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"=

"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"=

"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"=

"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"=

"D:\\Logiciels\\Xfire\\xfire.exe"=

"D:\\Logiciels\\Shareaza\\Shareaza.exe"=

"D:\\Logiciels\\Wolfenstein - Enemy Territory\\ETDED.exe"=

"D:\\Jeux\\World in conflict\\wic.exe"=

"D:\\Jeux\\World in conflict\\wic_online.exe"=

"D:\\Jeux\\World in conflict\\wic_ds.exe"=

"D:\\Logiciels\\iTunes\\iTunes.exe"=

"D:\\Jeux\\Assassin\\AssassinsCreed_Dx9.exe"=

"D:\\Jeux\\Assassin\\AssassinsCreed_Dx10.exe"=

"D:\\Jeux\\Assassin\\AssassinsCreed_Launcher.exe"=

"D:\\Logiciels\\3D Studio Max 9 + Tutorials and Keygen\\3dsmax.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\monitor.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\manager.exe"=

"C:\\Program Files\\Autodesk\\Backburner\\server.exe"=

"D:\\Jeux\\Steam\\steamapps\\lapinoulerelou@hotmail.com\\counter-strike\\hl.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"60509:TCP"= 60509:TCP:azu

"6881:TCP"= 6881:TCP:a

"60510:TCP"= 60510:TCP:h

"6346:TCP"= 6346:TCP:Share

"60511:TCP"= 60511:TCP:aaaa

"60511:UDP"= 60511:UDP:aaaaaaaa

"50000:TCP"= 50000:TCP:dqsojk

"50000:UDP"= 50000:UDP:dlqzjhqzsd

"64000:TCP"= 64000:TCP:64000

R3 wlags51b;Agere Wireless USB Driver;C:\WINDOWS\system32\DRIVERS\wlags51b.sys [2002-08-22 07:34]

S3 DAdderFltr;DeathAdder Mouse;C:\WINDOWS\system32\drivers\dadder.sys [2006-11-14 15:29]

S3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys []

.

Contenu du dossier 'Scheduled Tasks/Tâches planifiées'

"2008-03-17 13:18:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-18 00:19:20

Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

Balayage des fichiers cachés ...

Scan terminé avec succès

Les fichiers cachés: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

D:\Logiciels\AD AWARE\aawservice.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Club-Internet\Lanceur\lanceur.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-03-18 0:20:49 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-17 23:20:47

.

2008-03-12 07:50:32 --- E O F ---

en esperant que ça t'aides

Thanos · le 17 mars 2008

oui, ca m'aide

Je vais te préparer un script à utiliser pour nettoyer les restes de l'infection.

Réponse dans un quart d'heure

Question: est ce toi qui a ouvert des ports pour utiliser Shareaza?

Modifié le 17 mars 2008 par Thanos

Recane · le 17 mars 2008

oui, ca m'aide

Je vais te préparer un script à utiliser pour nettoyer les restes de l'infection.

Réponse dans un quart d'heure

Question: est ce toi qui a ouvert desp orts pour utiliser Shareaza?

Merci énormement Thanos,

pour ta question je ne comprends pas trop, j'utilise peu Shareaza mais je ne vois pas ce que "desp orts" signifie

Cordialement

Thanos · le 17 mars 2008

Tiens un peu de lecture pour comprendre pourquoi tu as infecté ton pc >

Fais gaffe avec l'utilisation des logiciels P2P et les cracks !! ce sont les principaux vecteurs d'infection. Pour t'en convaincre, lis ces deux topics très clairs:

le premier est de Malekal et concerne les cracks => http://forum.malekal.com/viewtopic.php?f=33&t=893

le second de Tesgaz concerne le P2P en général => http://forum.zebulon.fr/index.php?showtopic=85544

Les infections véhiculées pas le p2p sont une menace réelle!! par exemple le vers Worm.Win32_Sumom-A qui est un ver de messagerie instantanée et de réseaux peer-to-peer,se met dans le dossier incoming/Shared afin d'être expédié à toutes les personnes qui partagent tes téléchargements...=> http://www.virustraq.com/info_virus/10134/details/

Maintenant que tu sais, c'est à toi de voir

je te prépare le script...

Recane · le 17 mars 2008

ouah!

je pensais pas à ce point là... je vais désinstaller shareaza sur le champs

Merci encore^^

Thanos · le 18 mars 2008

C'est une bonne idée

1) Nous allons installer la Console de Récupération sur ton pc. Cela permettra de réparer ton système au cas ou le pc ne redémarrerait plus suite à la désinfection.

Lorsque tu as cliqué sur le lien correspondant à la version de ton Windows, tu seras dirigé sur une page: clique sur le bouton Télécharger afin de récupérer le package d'installation: Ne modifie pas le nom du fichier surtout! Télécharge le fichier sur ton bureau.

Windows XP Service Pack 2 (SP2) >

Microsoft Windows XP Édition familiale SP2
Microsoft Windows XP Professionnel SP2
Fait un glisser/déposer de ce fichier sur le fichier ComboFix.exe comme sur la capture >
Suis les indications à l'écran pour lancer ComboFix et lorsqu'on te le demande, accepte le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Lorsque ce sera terminé, un message te disant que la Console a bien été installée apparait, puis un rapport nommé CF_RC.txt va s'afficher: poste le contenu de ce rapport.

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/covx3k

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Poste ces deux rapports stp

Recane · le 18 mars 2008

merci thanos pour ton aide!

alors voilà le premier rapport:

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

et le deuxieme!!

ComboFix 08-03-17.1 - DE LA BONNE KAM 2008-03-18 1:19:41.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1571 [GMT 1:00]

Endroit: C:\Documents and Settings\DE LA BONNE KAM\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\DE LA BONNE KAM\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

FILE ::

C:\WINDOWS\system32\jkkhigf.dll

C:\WINDOWS\system32\mllji.exe

.

((((((((((((((((((((((((((((( Fichiers créés 2008-02-18 to 2008-03-18 ))))))))))))))))))))))))))))))))))))