Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par win:32TratBHO [Trj]

tyrex974

Par tyrex974
dans Analyses et éradication malwares

 Partager

Messages recommandés

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Re.

 

Plusieurs choses:

 

VundoFix:

 

Le rapport que tu m'as posté confirme le Vundo, mais il est très incomplet: poste-le en entier (il se trouve ici:C:\vundofix.txt), même s'il semblerait que Vundofix n'ait pas fonctionné vu le rapport HijackThis...

 

OtMoveIt:

 

Tu m'as envoyé le premier rapport en double :P ! Regarde dans le dossier suivant: C:\_OTMoveIt\MovedFiles et poste l'autre rapport (portant sur les éléments suivants:

C:\Program Files\Weflirt\

C:\Program Files\Fichiers communs\ProtectionAssuree\bm.exe

C:\Program Files\ProtectionAssuree\ptask.exe

 

 

j'attends les bons rapports; à+ !

 

 

Lien vers le commentaire
Partager sur d’autres sites

tyrex974 Junior Member

tyrex974

Posté(e)
  • Auteur
Posté(e)

Excuse moi je pense que c la fatigue qui m'a fait faire n'importe quoi j'ai 3 heure de décalage en plus

alors voici les bons rapports avec un peu (beaucoup) de retard:

 

VundoFix V7.0.3

 

Scan started at 23:05:56 26/03/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\nnnnklm.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\nnnnklm.dll

C:\WINDOWS\system32\nnnnklm.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

 

et:

 

C:\Program Files\Weflirt moved successfully.

File/Folder C:\Program Files\Fichiers communs\ProtectionAssuree\bm.exe not found.

File/Folder C:\Program Files\ProtectionAssuree\ptask.exe not found.

 

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_002149

Lien vers le commentaire
Partager sur d’autres sites
oGu Godlike Member

oGu

Posté(e)
Posté(e)
Excuse moi je pense que c la fatigue qui m'a fait faire n'importe quoi j'ai 3 heure de décalage en plus

alors voici les bons rapports avec un peu (beaucoup) de retard:

 

Pas de problème, j'avais remarqué pour le décalage horaire, l'heure apparaît sur les rapports HijackThis et on la regarde pour s'assurer que le rapport posté est le bon (chronologiquement parlant!)

 

 

VundoFix V7.0.3

 

 

Attempting to delete C:\WINDOWS\system32\nnnnklm.dll

C:\WINDOWS\system32\nnnnklm.dll Could not be deleted.

 

VundoFix n'a pas complètement supprimé le malware. On va tenter autre chose:

 

1-VundoFix

  • Relance VundoFix mais ne scanne pas ta machine
  • Une fois VundoFix ouvert, fais un clic droit dans sa fenêtre
  • Sélectionne alors "ad more files"
  • une fenêtre s'ouvre: cherche alors ce fichier:
     
    C:\WINDOWS\system32\nnnnklm.dll
     

  • Double-clique sur nnnnklm.dll

  • De retour dans l'interface de VundoFix, coche la ligne C:\WINDOWS\system32\nnnnklm.dll

  • Clique enfin sur Fix Vundo et laisse l'outil supprimer la dll
  • Poste le nouveau rapport qui apparaîtra dans le dossier C:\vundofix.txt

 

 

2-OtMoveIt

 

  • Double clic sur OTMoveIt.exe
  • Sélectionne et copie la ligne ci-dessous
     
    C:\Program Files\Fichiers communs\LibreSystem
     
     
  • Dans OTMoveIt, fais un clic droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis "coller".
  • Clic sur le bouton rouge MoveIt
  • Si un fichier ou un dossier ne peut être déplacé immédiatement, il te sera demander de redémarrer ta machine pour finir l'exécution: si c'est le cas, clic sur "Yes"
  • Copie et colle le rapport qu'il va te générer (il se trouve dans ce dossier : C:\_OTMoveIt\MovedFiles)

 

 

 

3- CCleaner Slim

 

  • LanceCCleaner Slim:
  • Clique sur l'onglet "Nettoyeur"
  • Clique sur le bouton "Lancer le nettoyage"
  • Clique sur l'onglet : "Registre"
  • Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
  • Répond "oui" à la demande de sauvegarde proposée par le logiciel et enregistre-là dans tes documents

 

 

4-Hijackthis

 

Reposte un nouveau rapport de zebulon.exe que l'on voit où nous en sommes.

Lien vers le commentaire
Partager sur d’autres sites
tyrex974 Junior Member

tyrex974

Posté(e)
  • Auteur
Posté(e)

Merci de continuer a me suivre alors voici les rapports:

 

 

1-VundoFix

 

 

 

VundoFix V7.0.3

 

Scan started at 23:05:56 26/03/2008

 

Listing files found while scanning....

 

C:\WINDOWS\system32\nnnnklm.dll

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\nnnnklm.dll

C:\WINDOWS\system32\nnnnklm.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\nnnnklm.dll

C:\WINDOWS\system32\nnnnklm.dll Could not be deleted.

 

Performing Repairs to the registry.

Done!

 

Beginning removal...

 

Attempting to delete C:\WINDOWS\system32\nnnnklm.dll

C:\WINDOWS\system32\nnnnklm.dll Has been deleted!

 

Performing Repairs to the registry.

Done!

 

 

 

2-OtMoveIt

 

 

C:\Program Files\Fichiers communs\LibreSystem moved successfully.

 

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_173504

 

 

4-Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:44:49, on 27/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\zebulon.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A93219A0-42DD-4D87-A969-FCF61FB62CF9} - (no file)

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{1279FC58-184D-4334-98C3-4BB63A3F0F91}: NameServer = 80.10.246.130 80.10.246.3

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

 

--

End of file - 7345 bytes

Lien vers le commentaire
Partager sur d’autres sites
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Excellent travail :P !

 

C:\WINDOWS\system32\nnnnklm.dll Has been deleted!

 

 

C:\Program Files\Fichiers communs\LibreSystem moved successfully.

 

L'infection SmitFraud et le Vundo ont été supprimés. Ton rapport Hijackthis ne montre plus rien.

 

 

j'ai vu que tu avais supprimé Avast! au profit d'Antivir et c'est une excellente idée (que j'avais prévu de te soumettre durant la fin de procédure).

 

 

 

Pour la suite:

 

1-HijackThis:

 



  • Va dans C:\Program Files\Trend Micro\HijackThis

  • Clique-droit sur zebulon.exe et choisis "renommer" (il se peut que le .exe n'apparaissent pas)
  • Rappelle-le HijackThis.exe (si le .exe n'apparaissait pas, inutile de le rajouter)
  • Clique maintenant sur HijackThis.exe et sélectionne "do a scan "
  • Coche les lignes suivantes:
     
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
     
    O2 - BHO: (no name) - {A93219A0-42DD-4D87-A969-FCF61FB62CF9} - (no file)
     
    O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.orange.fr (file missing) (HKCU)
     
  • Clique en bas sur "Fix checked"
  • Redémarre
  • Poste un nouveau rapport

 

 

 

2- Rapport Antivirus AntiVir

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
  • Puis lance un scan Antivir et supprime tout ce qu'il te trouve.
  • Poste le rapport qu'Antivir va générer

 

 

 

4- Rapports AntiSpyware

 

Nous testons en ce moment un nouvel antispy très performant (et gratuit dans sa version basique), aussi je vais te faire passer deux antispy pour pouvoir comparer leur efficacité respective.

 

MALWAREBYTES ANTIMALWARE (MBAM)

 

Télécharge Malwarebytes Antimalware

  • Installe-le puis lance-le
  • Dans l'onglet "Recherche", sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • Le scan se lance: arme-toi de patience en cliquant ici
  • A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

 

 

EWIDO

 

Télécharge ewido anti-spyware micro scanner sur ton bureau.

  • Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  • Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  • Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  • Clique sur Start Scan et laisse l'outil travailler.
  • Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  • Poste le dans ta prochaine réponse.

  • Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.

 

Modifié par oGu
Lien vers le commentaire
Partager sur d’autres sites
tyrex974 Junior Member

tyrex974

Posté(e)
  • Auteur
Posté(e) (modifié)

Merci et encore merci pour ton aide:

 

1-HijackThis:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:24:31, on 27/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\keyhook.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\PROGRA~1\Wanadoo\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Wanadoo\GestionnaireInternet.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Wanadoo\Watch.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregFre\ereg.ini"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe GestionnaireInternet.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppD...ap/PhtPkMSN.cab

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

 

--

End of file - 6877 bytes

 

 

 

2- Rapport Antivirus AntiVir

 

 

 

 

AntiVir PersonalEdition Classic

Report file date: jeudi 27 mars 2008 19:27

 

Scanning for 1168484 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username:

Computer name: BAMBOU

 

Version information:

BUILD.DAT : 270 15603 Bytes 19/09/2007 13:32:00

AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29

AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51

LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47

LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 14:20:29

ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21/03/2008 14:20:30

ANTIVIR3.VDF : 7.0.3.83 109568 Bytes 27/03/2008 14:20:30

AVEWIN32.DLL : 7.6.0.75 3334656 Bytes 27/03/2008 14:20:31

AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26

AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24

AVPACK32.DLL : 7.6.0.3 360488 Bytes 27/03/2008 14:20:31

AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06

AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33

AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18

NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42

RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07/08/2007 12:38:13

RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 12:50:37

SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: off

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: off

Scan all files...................: Intelligent file selection

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Macro heuristic..................: on

File heuristic...................: medium

 

Start of the scan: jeudi 27 mars 2008 19:27

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

11 processes with 11 modules were scanned

 

Start scanning boot sectors:

Boot sector 'C:\'

[NOTE] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '34' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\' <Jean Fred>

C:\pagefile.sys

[WARNING] The file could not be opened!

 

 

End of the scan: jeudi 27 mars 2008 19:56

Used time: 28:42 min

 

The scan has been done completely.

 

3098 Scanning directories

83098 Files were scanned

0 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

1 Files cannot be scanned

83098 Files not concerned

631 Archives were scanned

1 Warnings

4 Notes

 

 

 

et la suite va arriver pour les Rapports AntiSpyware

Modifié par tyrex974
Lien vers le commentaire
Partager sur d’autres sites
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Re;

 

tu as de la chance je suis gréviste aujourd'hui, cela me donne le temps de te suivre!

 

En vrac:

 

flechedroitets2.pngLe rapport HijackThis est nickel.

 

flechedroitets2.pngTon identité réelle apparaît dans tes rapports: si j'étais toi je ferai une recherche de mon nom sur les pages de ce topic (ctrl-f avec Firefox) et je supprimerai mon nom de famille.

 

flechedroitets2.pngInternet Explorer n'est pas à jour (même si tu sembles utiliser Firefox): tu devrais l'upgrader:

 

http://www.microsoft.com/downloads/details...;displaylang=fr

flechedroitets2.pngTon Antivir est mal configuré: il ne recherche pas les rootkits (mais tu n'en as pas d'après le scan SDFix) et ne scanne pas le MBR

Scan master boot sector..........: off

 

Search for rootkits..............: off

 

Configure-le au maximum de ses possibilités en activant ces deux options. Néanmoins le scan ne montre aucun fichier infectieux (c'est extrèmement rare sur une machine en cours de désinfection!)

 

J'attends la suite !

Modifié par oGu
Lien vers le commentaire
Partager sur d’autres sites
tyrex974 Junior Member

tyrex974

Posté(e)
  • Auteur
Posté(e)

Malwarebytes' Anti-Malware 1.09

Version de la base de données: 555

 

Type de recherche: Examen complet (A:\|C:\|)

Eléments examinés: 60061

Temps écoulé: 31 minute(s), 24 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 14

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 9

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\MalwareAlarm (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP434\A0045870.exe (Rogue.SystemErrorFixer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP445\A0047108.exe (Rogue.SystemErrorFixer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP513\A0057465.exe (Rogue.WinPCDoctor) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP513\A0057468.dll (Rogue.WinPCDoctor) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP513\A0057473.exe (Rogue.WinPCDoctor) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{C8F6B2E5-CD5D-4E0A-B17D-6D78F3CF5CA8}\RP513\A0057476.exe (Rogue.WinPCDoctor) -> Quarantined and deleted successfully.

C:\Program Files\MalwareAlarm\MalwareAlarm.exe (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

C:\Program Files\MalwareAlarm\MalwareAlarm.lic (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

C:\Program Files\MalwareAlarm\Uninstall.exe (Rogue.Malware.Alarm) -> Quarantined and deleted successfully.

Lien vers le commentaire
Partager sur d’autres sites
oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Ok, Malwarebytes AntiMalware a fait du bon travail.

 

Tes points de restauration sont infectés (ce n'est pas méchant du tout), on va les purger:

 

 

flechedroitets2.pngNettoyer les points de restauration

  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquer sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".
  • Redémarrer
  • Puis:
  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquez sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".

 

 

Oublie pas le rapport Ewido!

Modifié par oGu
Lien vers le commentaire
Partager sur d’autres sites
tyrex974 Junior Member

tyrex974

Posté(e)
  • Auteur
Posté(e) (modifié)

__________________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: Not-A-Virus.Downloader.Win32.WinFixer.cu

Path: C:\Documents and Settings\Application Data\installer_fr[1].exe

Risk: Low

 

Name: Not-A-Virus.Downloader.Win32.WinFixer.cu

Path: C:\Documents and Settings\Application Data\installer_fr[2].exe

Risk: Low

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.17:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Adviva

Path: :mozilla.18:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.20:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.21:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Smartadserver

Path: :mozilla.22:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Tribalfusion

Path: :mozilla.29:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.2o7

Path: :mozilla.45:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

 

Name: TrackingCookie.Bluestreak

Path: :mozilla.51:C:\Documents and Settings\Application Data\Mozilla\Firefox\Profiles\np2ploog.default\cookies.txt

Risk: Medium

Modifié par tyrex974
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...