Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC infecté? [résolu]

Invité Jérôme

Par Invité Jérôme
dans Analyses et éradication malwares

 Partager

Messages recommandés

je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

OK ^^, tu pourras me dire s'il te plaît quand même si j'ai pas sauté ou mal fais des étapes?

A demain alors pour la poursuite de l'extermination des Malwares!

 

:P :P :P:P:P :P:-? :P:P :P:P

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Yo!

 

Hélas je n'aurais pas le temps d'analyser les rapports aujourd'hui (ça prend beaucou^p de temps pour faire les procédures :P ), mais j'y reviendrai ce week-end.

 

 

1) Avec Combofix, dans l'invite où je copie/colle: "%userprofile%\Bureau\combofix.exe" /v rqRjHwVN, je reçois toujours la même phrase: le service spùcifiù n'existe pas en tant que service installù.

 

Ouais, cela n'a pas fonctionné, j'ignore pourquoi. On le virera de manière plus conventionnelle.

 

2) Une fois ComboFix lancé, il demande à redémarrer, au retour il m'affiche qu'il manque un fichier je crois mais je suis pas sur. En tout cas ils disent qu'il manque un truc, j'ai cliqué OK pour les 2 scans Combo et continué la précédure Combo.

 

En tout cas, CF a travaillé, c'est le principal. Il reste du boulot mais on est sur la bonne voie.

 

 

3) Avec HijackThis, tu me dis de cliqué sur les lignes que tu m'a cité. Je me suis attelé à la tache, ensuite j'ai cliqué sur "Fix checked". J'ai fermé la fenêtre et redémarré. Ais-je oublié une étape tel que femer les naviguateurs par exemple? Je ne comprends pas très bien ce que tu veux dire par là. Ensuite, j'ai redémarrer mon ordinateur.

 

Je voulais signifier qu'il fallait fermer tes navigateurs internet (exemple: Firefox, Opéra, Internet Explorer...) AVANT de cliquer sur "fix checked". Sinon certaines lignes ne disparaissent pas.

 

 

 

 

5) Maintenant j'ai récupéré mon fond d'écran d'origine, mais j'ai tous mes icones qui sont bleu foncé comme si ils étaient tous sélectionnés, puis j'ai toujours comme page de démarrage l'anti-virus UltimateCleaner 2007.

 

Cliquez avec le bouton droit de ta souris sur le Poste de travail puis choisis "Propriétés". Dans l'onglet "Avancé", clique sur "Paramètres", dans le cadre "Performances".

Ensuite coche la case "Utiliser des ombres pour le nom des icônes sur le Bureau" et valide.

 

 

Pour ta page de démarrage règle-là à partir de l'interface de ton navigateur (lequel utilises-tu?) car je ne vois rien dans le rapport HijackThis concernant ce détournement de page d'accueil. De toute façon on passera SmitFraudFix pour nettoyer tout ça après le ComboFix.

 

A demain pour la suite!

je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Salut oGU!

 

1)Oui au sujet de la page de démarrage internet, tu as raison, google est redevenu comme avant. C'est que je m'en suis aperçu plus tard et j'avais oublié de te prévenir désolé :P . J'avais cliqué sur mettre Google en page d'accueil, après j'avais la tête dans les examens du bts.

 

2) Ensuite au sujet de HijackThis, j'ai du mal faire la procédure en oubliant de désactiver internet, puisque j'avais vu une ligne coché réaparaitre comme jt'avais expliqué. Tu t'étais bien expliqué mais j'avais perdu ma tête à ce moment là, désolé encore.

Sinon je le serai maintenant. Puis tu m'a dis que ComboFix a plutôt bien marché donc ça me rassure.

 

3) Au sujet des icones bleus sur mon bureau. J'ai un petit problème car j'ai supprimé l'icone du poste de travail même dans la corbeille ya un moment de ça. Et je ne sais plus comment le récupérer sans faire un copier/coller en créant du coup un racourci du poste de travail. Donc tu m'expliques la procédure à faire :

 

Cliquez avec le bouton droit de ta souris sur le Poste de travail puis choisis "Propriétés". Dans l'onglet "Avancé", clique sur "Paramètres" , dans le cadre "Performances".

Ensuite coche la case "Utiliser des ombres pour le nom des icônes sur le Bureau" et valide.

 

Le souci c'est qu'avec cet icône raccourci, je ne peux pas cliquer sur "Paramètres" car il n'y est pas.

oGu Godlike Member

oGu

Posté(e)
Posté(e)

Yo!

 

Vite fait avant d'aller taffer: pour tes icônes, tu peux cliquer droit sur le "Poste de travail" qui apparaît dans ton menu "démarrer" et suivre la procédure.

 

A tout à l'heure!

je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Salut oGu!

 

J'ai fais ce que tu m'a dit. La case "Utiliser des ombres pour le nom des icônes sur le Bureau" était déjà cochée en fait. J'ai cliqué dessus pour la décocher et voir quand même si les icônes redevenaient comme avant, mais hélas ce n'était pas le cas. Donc j'ai recliqué dessus pour laisser la case cochée comme à l'origine.

 

Bon courage pour ton travail!

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Bon, on verra à la fin pour les icônes, il doit bien exister un .reg pour restaurer tout ça...

 

 

je vais te donner beaucoup de boulot : normalement la procédure se fait en plusieurs fois et je jette un oeil au fur et à mesure, mais vu que j'ai d'autres désinfections en attente et que tu t'en sors visiblement bien avec les manip', je te donne la totale, et j'analyserai comme ça l'intégralité des rapports :P !

 

flechedroitets2.pngCREATION/EXECUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

 

  • Ouvre un nouveau fichier du Bloc-notes
  • "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note :
     
    KillAll::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEDEF161-573C-4CC0-83E5-1F4CD35BB459}"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MalWarrior"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbksrofa"=-
"mpfanvqg"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRjHwVN]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7c577c65"=-


  • Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!!

  • Désactive ton antivirus et ton antispyware
     

  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.

    CFScript.gif
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste le rapport suivant dans ta prochaine réponse :
     
    - Combofix5.txt (il est stocké ici: > C:\ComboFix.txt)

 

flechedroitets2.pngHIJACKTHIS

 

  • Relance HijackThis
  • Sélectionne "Do a scan only"
  • Coche les lignes suivantes:
     
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2
     
    O3 - Toolbar: pvnsmfor - {EEDEF161-573C-4CC0-83E5-1F4CD35BB459} - C:\WINDOWS\pvnsmfor.dll (file missing)
     
    O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
     
     
  • Ferme tes navigateurs
  • Clique en bas sur "Fix checked"
  • Redémarre

 

Pour compléter le nettoyage:

 

flechedroitets2.png SMITFRAUDFIX

 

Pas sûr tu ais eu du SmitFraud (l'infection a été supprimée par les scripts de toute façon), mais cela nettoiera les problèmes de fonds d'écran etc...

  • Télécharge systemsr4.pngSmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image:
     
    114317848920080426014212.jpg
     
    (Si tu as Norton Antivirus ou NOD32, désactive-le)
  • Double-clic dessus pour le lancer
  • Choisis l'option 1 et appuie sur Entrée
  • Réponds o (Oui) aux deux questions suivantes si elles sont posées
  • Un rapport sera généré, sauvegarde le dans un dossier
  • Copie/colle le contenu du rapport ici

 

flechedroitets2.pngSDFIX

 

L'infection SD a été elle aussi dessoudée par COmboFix, mais on va s'assurer qu'il n'y a plus de problèmes de registre, et que le hosts est sain.

 

Je te conseille d'imprimer cette procédure pour pouvoir la suivre hors connexion internet, une fois en sans échec.

 

  • Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
     
http://download.bleepingcomputer.com/andymanchesta/SDFix.exe Double clique sur SDFix.exe et choisis Install pour l'extraire à la racine de C:\. (donc: C:\SDfix )
 
Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
Redémarre ton ordinateur
Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.
 
Suis la liste des instructions ci-dessous :
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmdpour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis.
 
N.B.:
- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
 
efafa0cd58fcc0b559a37b26a37b.jpeg Si Sdfix ne se lance pas (ça arrive!)
  • Démarrer->Exécuter
  • Copier/coller ceci:
     
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe
  • Cliquer ok, et valider.
  • Redémarrer et essayer de nouveau de lancer Sdfix.

 

efafa0cd58fcc0b559a37b26a37b.jpegINCREDIMAIL

 

IncrediMail est un programme que l'on déconseille très fortement depuis des années: il collecte des informations personnelles te concernant et en fait un usage commercial; en cela il se rapproche d'un spyware!

 

Pierre Pinard (Consultant en sécurité informatique, sur Assiste.fr) a écrit un excellent article à ce sujet .

 

Pour le désinstaller, suis scrupuleusement cette procédure.

 

Pour passer, par exemple, d'Incredimail à ThunderBird (conseillé), voir ceci pour le transfert des mails

 

flechedroitets2.png FERMER LE SERVICE "Boonty Games"

 

  • Rend-toi dans le menu "démarrer"
  • Clique sur "exécuter"
  • Tape services.msc puis "ok"
     
    Dans la console qui s'ouvre, cherche ( par odre alphabétique) le service intitulé:
     
    Boonty Games

  • Double-clique dessus puis règle son démarrage (avec le menu déroulant) sur "désactivé":
     
    sanstitregz0.jpg
  • Clique enfin sur "arrêter"
  • Redémarre

 

3 scans pour finir:

 

flechedroitets2.pngRAPPORT ANTIVIR

 

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.
  • Puis lance un scan Antivir et supprime tout ce qu'il te trouve.
  • Poste le rapport qu'Antivir va générer

 

flechedroitets2.pngEWIDO

Télécharge systemsr4.pngEwido Micro-Scanner sur ton bureau en cliquant sur cette image:

 

picture.png

 

  • Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  • Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  • Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  • Clique sur Start Scan et laisse l'outil travailler.
  • Quand l'outil à fini, clique sur save report et sauvegarde le rapport sur ton bureau.
  • Poste le dans ta prochaine réponse.

  • Nb, ne clique pas tout de suite sur Remove infections; nous devons nous assurer que toutes les détections soient infectieuses car certains utilitaires légitimes pourraient apparaître dans le rapport.

 

flechedroitets2.pngMALWAREBYTES ANTIMALWARE (MBAM)

 

Télécharge systemsr4.pngMalwarebytes Antimalware en cliquant sur cette image:

 

138421069520080425195345.jpg

 

  • Installe-le puis lance-le
  • Dans l'onglet "mise à jour", cliquer sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rend-toi dans l'onglet "Recherche"
  • Sélectionne "Exécuter une analyse approfondie"
  • Clique sur "Rechercher"
  • Le scan se lance
  • A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Ferme tes navigateurs
  • Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le

 

Voilà, ça te prendre facilement tout le week-end !!

 

A+ !

Modifié par oGu
je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Salut oGu!!

 

1) ComboFix--> Dès le redémarrage de mon pc, les icônes de mon bureau étaient redevenus à la normale :P

 

2) HijackThis--> Aucune des 3 lignes que tu m'a cité n'étaient présentes :P

 

3) SMITFRAUDFIX--> Ca c'est bien passé je pense.

 

4) SDFIX--> SDFIX c'est bien passé également.

 

5) INCREDIMAIL (désinstallation) --> a) Avant de faire la procédure, ils me disent d'utiliser CCleaner. Je l'ai téléchargé en prenant le sujet le plus récent dans ce forum, afin d'avoir une version récente, mais ensuite je ne sais pas m'en servir :P.

 

b) Ils me disent après d'aller dans la base de registre afin de détruire 17 clés.

Je l'ai ai toute supprimées sauf les 3 suivantes que je n'ai pas vu malgrès y avoir passé beaucoup de temps:

 

Sous la hiérarchie HKEY_LOCAL_MACHINE

 

- \Applications\Impcontent.exe

- \Applications\Incredimail

 

Sous la hiérarchie HKEY_CURRENT_USER

 

- Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ MenuOrder (ce nom n'y ai pas, à partir de là je peux pas allé plus loin) \ Start Menu \ Programs \ Incredimail

 

6) Boonty Games (à désactiver) --> Ca à bien marché normalement

 

7) AntiVir (sous mode sans échec)--> Ca c'est bien passé. AntiVir m'a détecté plusieurs Trojans. Il y en avaient provenant de :ComboFix, SMITFRAUD, Flash_Desinfector etc.. des logiciels que tu m'a passé ainsi que ANGELIQUE :P une autre modératrice auparavant.

Donc j'ai cliqué sur "IGNORE" , lorsque AntiVir les détectés afin de ne pas corrompre ces logiciels. Ceux qui semblaient être des virus ou trojans, je les ai mi en quarantaine. De toute façon, tu verras, tout est marqué dans le rapport.

 

8 ) EWIDO --> Ca s'est bien passé, il m'a trouvé qu'1 malware dès le début, après plus rien.

 

9) MALWAREBYTES ANTIMALWARE (MBAM)--> Ca c'est bien passé, je t'envoi également le rapport.

 

10) Tu auras les rapports suivants:

 

a) Rapport de ComboFix n°5

b) Rapport de HijackThis n° 3

c) Rapport de SMITFRAUDFIX

d) Rapport CATCHME

e) Rapport de SDFIX

f) Rapport de HijackThis n°4

g) Rapport d'Anti-Vir

h) Rapport de EWIDO

i) Rapport de MBAM

 

BONNE LECTURE!! :P

 

a) Rapport de ComboFix n°5

 

ComboFix 08-05-12.1 - lagarde 2008-05-17 13:46:06.9 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.193 [GMT 2:00]

Endroit: C:\Documents and Settings\lagarde\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\lagarde\Bureau\CFScript.txt

* Création d'un nouveau point de restauration

.

 

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-17 to 2008-05-17 ))))))))))))))))))))))))))))))))))))

.

 

2008-05-14 19:59 . 2008-05-14 19:59 <REP> d----c--- C:\Documents and Settings\Propriétaire

2008-05-14 19:59 . <REP> C:\Documents and Settings\PropriÚtaire\Local Settings

2008-05-14 13:48 . 2008-05-14 13:48 <REP> d----c--- C:\Program Files\Trend Micro

2008-05-09 17:57 . 2008-05-09 17:57 <REP> d----c--- C:\Documents and Settings\All Users.WINDOWS\Application Data\Kaspersky Lab

2008-05-08 18:55 . 2008-05-08 18:55 <REP> d----c--- C:\backups

2008-05-07 20:44 . 2008-05-07 20:44 <REP> d----c--- C:\Documents and Settings\LocalService.AUTORITE NT\Mes documents

2008-04-23 22:15 . 2008-04-23 22:15 268 --ah-c--- C:\sqmdata01.sqm

2008-04-23 22:15 . 2008-04-23 22:15 244 --ah-c--- C:\sqmnoopt01.sqm

2008-04-23 21:51 . 2008-04-23 21:51 268 --ah-c--- C:\sqmdata00.sqm

2008-04-23 21:51 . 2008-04-23 21:51 244 --ah-c--- C:\sqmnoopt00.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-14 13:18 --------- dc----w C:\Program Files\IncrediMail

2008-03-27 16:59 --------- dc----w C:\Program Files\Fichiers communs\Adobe

2008-03-25 04:51 621,344 -c--a-w C:\WINDOWS\system32\mswstr10.dll

2008-03-25 04:51 194,144 -c--a-w C:\WINDOWS\system32\msjint40.dll

2008-03-23 11:27 --------- dc----w C:\Documents and Settings\lagarde\Application Data\ItsLabel

2008-03-22 17:32 --------- dc----w C:\Program Files\FreebieSMS

2008-03-20 08:09 1,845,376 -c--a-w C:\WINDOWS\system32\win32k.sys

2008-02-20 06:51 282,624 -c--a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:35 45,568 -c--a-w C:\WINDOWS\system32\dnsrslvr.dll

2007-10-20 07:38 108 -c--a-w C:\Program Files\output54.png

2007-10-20 07:37 2,118 -c--a-w C:\Program Files\photoshop.bmp

2007-10-20 07:33 2,118 -c--a-w C:\Program Files\Sans titre.bmp

.

 

((((((((((((((((((((((((((((( snapshot@2008-05-14_19.57.52.78 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-01-23 04:56:21 554,008 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\dao360.dll

+ 2007-12-10 12:41:11 518,944 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msexch40.dll

+ 2007-12-10 12:41:11 326,432 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msexcl40.dll

+ 2007-12-10 12:41:11 1,516,568 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msjet40.dll

+ 2007-12-10 12:41:11 355,112 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msjetol1.dll

+ 2008-03-25 06:56:31 194,144 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msjint40.dll

+ 2007-12-10 12:41:12 60,192 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msjter40.dll

+ 2007-12-10 12:41:12 248,608 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msjtes40.dll

+ 2007-12-10 12:41:12 219,936 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msltus40.dll

+ 2007-12-10 12:41:12 355,104 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\mspbde40.dll

+ 2007-12-10 12:41:13 432,928 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msrd2x40.dll

+ 2007-12-10 12:41:13 322,336 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msrd3x40.dll

+ 2007-12-10 12:41:13 559,904 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msrepl40.dll

+ 2007-12-10 12:41:13 264,992 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\mstext40.dll

+ 2007-12-10 12:41:13 838,432 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\mswdat10.dll

+ 2007-11-01 05:15:27 621,344 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\mswstr10.dll

+ 2007-12-10 12:41:14 355,104 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\SP2QFE\msxbde40.dll

+ 2007-03-06 01:34:33 15,072 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\spmsg.dll

+ 2007-03-06 01:34:38 216,800 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\spuninst.exe

+ 2007-03-06 01:34:31 22,752 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\update\spcustom.dll

+ 2007-03-06 01:34:56 727,776 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\update\update.exe

+ 2007-03-06 01:35:48 394,976 -c--a-w C:\WINDOWS\$hf_mig$\KB950749\update\updspapi.dll

- 2008-05-14 17:48:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat

+ 2008-05-17 11:50:01 2,048 --s-a-w C:\WINDOWS\bootstat.dat

- 2008-01-13 15:41:31 29,371 -c--a-w C:\WINDOWS\hpoins03.dat

+ 2008-05-17 10:06:21 29,371 -c--a-w C:\WINDOWS\hpoins03.dat

- 2004-08-05 12:00:00 561,179 -c--a-w C:\WINDOWS\system32\dllcache\dao360.dll

+ 2008-03-25 04:50:25 554,008 -c--a-w C:\WINDOWS\system32\dllcache\dao360.dll

- 2004-08-05 12:00:00 512,029 -c--a-w C:\WINDOWS\system32\dllcache\msexch40.dll

+ 2008-03-25 04:50:28 518,944 -c--a-w C:\WINDOWS\system32\dllcache\msexch40.dll

- 2004-08-05 12:00:00 319,517 -c--a-w C:\WINDOWS\system32\dllcache\msexcl40.dll

+ 2008-03-25 04:50:30 326,432 -c--a-w C:\WINDOWS\system32\dllcache\msexcl40.dll

- 2004-08-05 12:00:00 1,507,356 -c--a-w C:\WINDOWS\system32\dllcache\msjet40.dll

+ 2008-03-25 04:50:34 1,516,568 -c--a-w C:\WINDOWS\system32\dllcache\msjet40.dll

- 2004-08-05 12:00:00 358,976 -c--a-w C:\WINDOWS\system32\dllcache\msjetol1.dll

+ 2008-03-25 04:50:40 355,112 -c--a-w C:\WINDOWS\system32\dllcache\msjetol1.dll

- 2004-08-05 12:00:00 184,351 -c--a-w C:\WINDOWS\system32\dllcache\msjint40.dll

+ 2008-03-25 04:51:08 194,144 -c--a-w C:\WINDOWS\system32\dllcache\msjint40.dll

- 2004-08-05 12:00:00 53,279 -c--a-w C:\WINDOWS\system32\dllcache\msjter40.dll

+ 2008-03-25 04:50:42 60,192 -c--a-w C:\WINDOWS\system32\dllcache\msjter40.dll

- 2004-08-05 12:00:00 241,693 -c--a-w C:\WINDOWS\system32\dllcache\msjtes40.dll

+ 2008-03-25 04:50:42 248,608 -c--a-w C:\WINDOWS\system32\dllcache\msjtes40.dll

- 2004-08-05 12:00:00 213,023 -c--a-w C:\WINDOWS\system32\dllcache\msltus40.dll

+ 2008-03-25 04:50:44 219,936 -c--a-w C:\WINDOWS\system32\dllcache\msltus40.dll

- 2004-08-05 12:00:00 348,189 -c--a-w C:\WINDOWS\system32\dllcache\mspbde40.dll

+ 2008-03-25 04:50:45 355,104 -c--a-w C:\WINDOWS\system32\dllcache\mspbde40.dll

- 2004-08-05 12:00:00 421,919 -c--a-w C:\WINDOWS\system32\dllcache\msrd2x40.dll

+ 2008-03-25 04:50:47 432,928 -c--a-w C:\WINDOWS\system32\dllcache\msrd2x40.dll

- 2004-08-05 12:00:00 315,423 -c--a-w C:\WINDOWS\system32\dllcache\msrd3x40.dll

+ 2008-03-25 04:50:49 322,336 -c--a-w C:\WINDOWS\system32\dllcache\msrd3x40.dll

- 2004-08-05 12:00:00 552,989 -c--a-w C:\WINDOWS\system32\dllcache\msrepl40.dll

+ 2008-03-25 04:50:52 559,904 -c--a-w C:\WINDOWS\system32\dllcache\msrepl40.dll

- 2004-08-05 12:00:00 258,077 -c--a-w C:\WINDOWS\system32\dllcache\mstext40.dll

+ 2008-03-25 04:50:55 264,992 -c--a-w C:\WINDOWS\system32\dllcache\mstext40.dll

- 2004-08-05 12:00:00 831,519 -c--a-w C:\WINDOWS\system32\dllcache\mswdat10.dll

+ 2008-03-25 04:50:57 838,432 -c--a-w C:\WINDOWS\system32\dllcache\mswdat10.dll

- 2004-08-05 12:00:00 614,429 -c--a-w C:\WINDOWS\system32\dllcache\mswstr10.dll

+ 2008-03-25 04:51:09 621,344 -c--a-w C:\WINDOWS\system32\dllcache\mswstr10.dll

- 2004-08-05 12:00:00 348,189 -c--a-w C:\WINDOWS\system32\dllcache\msxbde40.dll

+ 2008-03-25 04:50:58 355,104 -c--a-w C:\WINDOWS\system32\dllcache\msxbde40.dll

- 2008-04-06 05:56:20 19,836,024 -c--a-w C:\WINDOWS\system32\MRT.exe

+ 2008-05-09 21:35:04 16,863,864 -c--a-w C:\WINDOWS\system32\MRT.exe

- 2004-08-05 12:00:00 512,029 -c--a-w C:\WINDOWS\system32\msexch40.dll

+ 2008-03-25 04:50:28 518,944 -c--a-w C:\WINDOWS\system32\msexch40.dll

- 2004-08-05 12:00:00 319,517 -c--a-w C:\WINDOWS\system32\msexcl40.dll

+ 2008-03-25 04:50:30 326,432 -c--a-w C:\WINDOWS\system32\msexcl40.dll

- 2004-08-05 12:00:00 1,507,356 -c--a-w C:\WINDOWS\system32\msjet40.dll

+ 2008-03-25 04:50:34 1,516,568 -c--a-w C:\WINDOWS\system32\msjet40.dll

- 2004-08-05 12:00:00 358,976 -c--a-w C:\WINDOWS\system32\msjetoledb40.dll

+ 2008-03-25 04:50:40 355,112 -c--a-w C:\WINDOWS\system32\msjetoledb40.dll

- 2004-08-05 12:00:00 53,279 -c--a-w C:\WINDOWS\system32\msjter40.dll

+ 2008-03-25 04:50:42 60,192 -c--a-w C:\WINDOWS\system32\msjter40.dll

- 2004-08-05 12:00:00 241,693 -c--a-w C:\WINDOWS\system32\msjtes40.dll

+ 2008-03-25 04:50:42 248,608 -c--a-w C:\WINDOWS\system32\msjtes40.dll

- 2004-08-05 12:00:00 213,023 -c--a-w C:\WINDOWS\system32\msltus40.dll

+ 2008-03-25 04:50:44 219,936 -c--a-w C:\WINDOWS\system32\msltus40.dll

- 2004-08-05 12:00:00 348,189 -c--a-w C:\WINDOWS\system32\mspbde40.dll

+ 2008-03-25 04:50:45 355,104 -c--a-w C:\WINDOWS\system32\mspbde40.dll

- 2004-08-05 12:00:00 421,919 -c--a-w C:\WINDOWS\system32\msrd2x40.dll

+ 2008-03-25 04:50:47 432,928 -c--a-w C:\WINDOWS\system32\msrd2x40.dll

- 2004-08-05 12:00:00 315,423 -c--a-w C:\WINDOWS\system32\msrd3x40.dll

+ 2008-03-25 04:50:49 322,336 -c--a-w C:\WINDOWS\system32\msrd3x40.dll

- 2004-08-05 12:00:00 552,989 -c--a-w C:\WINDOWS\system32\msrepl40.dll

+ 2008-03-25 04:50:52 559,904 -c--a-w C:\WINDOWS\system32\msrepl40.dll

- 2004-08-05 12:00:00 258,077 -c--a-w C:\WINDOWS\system32\mstext40.dll

+ 2008-03-25 04:50:55 264,992 -c--a-w C:\WINDOWS\system32\mstext40.dll

- 2004-08-05 12:00:00 831,519 -c--a-w C:\WINDOWS\system32\mswdat10.dll

+ 2008-03-25 04:50:57 838,432 -c--a-w C:\WINDOWS\system32\mswdat10.dll

- 2004-08-05 12:00:00 348,189 -c--a-w C:\WINDOWS\system32\msxbde40.dll

+ 2008-03-25 04:50:58 355,104 -c--a-w C:\WINDOWS\system32\msxbde40.dll

+ 2008-05-17 11:50:23 16,384 -c--atw C:\WINDOWS\TEMP\Perflib_Perfdata_698.dat

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"=":C:\WINDOWS\system32\ctfmon.exe" [ ]

"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]

"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-11-29 19:19 57344]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-16 19:38 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"LVCOMSX"=":C:\WINDOWS\system32\LVCOMSX.EXE" [ ]

"LogitechVideoRepair"=":C:\Program Files\Logitech\Video\ISStart.exe" [ ]

"LogitechVideoTray"=":C:\Program Files\Logitech\Video\LogiTray.exe" [ ]

"SynTPLpr"=":C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [ ]

"SynTPEnh"=":C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [ ]

"avgnt"="C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-27 22:35 262401]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-11-29 19:19 40960]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 18:28 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 16:18 241664]

"ItsTV"="C:\Program Files\Its Label\ItsTV\ItsTV.exe" [ ]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 14:00 15360]

"DWQueuedReporting"="c:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 16:38 39264]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.X264"= x264vfw.dll

"VIDC.MJPG"= pvmjpg21.dll

"VIDC.3iv2"= 3ivxVfWCodec.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\mshta.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

 

R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.sys [2004-06-23 08:04]

R1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v3.8.291\ATI Tray Tools\atitray.sys [2006-09-27 12:47]

R2 R54G Wireless Service;R54G Wireless Service;C:\Program Files\Wireless 802.11g Monitor\WLService.exe [2004-03-29 16:08]

R3 HSFHWATI;HSFHWATI;C:\WINDOWS\system32\DRIVERS\HSFHWATI.sys [2004-10-06 13:04]

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\rt2571.sys [2004-05-07 13:47]

S3 Boonty Games;Boonty Games;"C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe" []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe09f87-c44c-11dc-9c4f-00c09f737e07}]

\Shell\AutoRun\command - E:\LaunchU3.exe -a

 

.

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-17 13:51:08

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\msiexec.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-05-17 13:56:58 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-17 11:56:53

ComboFix2.txt 2008-05-15 17:30:50

ComboFix3.txt 2008-05-15 17:06:40

ComboFix4.txt 2008-05-14 18:22:26

ComboFix5.txt 2008-05-14 17:59:06

 

Pre-Run: 23,413,637,120 octets libres

Post-Run: 23,406,518,272 octets libres

 

218 --- E O F --- 2008-05-16 09:38:10

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

b) Rapport de HijackThis n° 3

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:00:30, on 17/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] :C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] :C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] :C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [synTPLpr] :C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] :C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [itsTV] "C:\Program Files\Its Label\ItsTV\ItsTV.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] :C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0 -reboot 1

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ~Disabled

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0..._instmodule.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

 

--

End of file - 8335 bytes

 

 

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

c) Rapport de SMITFRAUDFIX

 

SmitFraudFix v2.320

 

Rapport fait à 14:06:27,25, 17/05/2008

Executé à partir de C:\Documents and Settings\lagarde\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Logitech\Video\FxSvr2.exe

C:\WINDOWS\system32\LVComsX.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lagarde

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lagarde\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\lagarde\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Wireless 802.11g USB Adapter #2 - Miniport d'ordonnancement de paquets

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2FECA8BB-D493-4C52-8AA3-752BB58B984F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{2FECA8BB-D493-4C52-8AA3-752BB58B984F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{2FECA8BB-D493-4C52-8AA3-752BB58B984F}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

d) Rapport CATCHME

 

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-17 15:20:05

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

e) Rapport de SDFIX

 

 

SDFix: Version 1.183

Run by lagarde on 17/05/2008 at 15:03

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\install\credits.bat - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-17 15:20:05

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\WINDOWS\\system32\\mshta.exe"="C:\\WINDOWS\\system32\\mshta.exe:*:Enabled:Microsoft ® HTML Application host"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT2.tmp"

 

Finished!

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

f) Rapport de HijackThis n°4

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:27:02, on 17/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe

C:\Program Files\Wireless 802.11g Monitor\WLService.exe

C:\Program Files\Wireless 802.11g Monitor\WLanCfgG.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\HP\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [LVCOMSX] :C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] :C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] :C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [synTPLpr] :C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] :C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\FirstStart.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [itsTV] "C:\Program Files\Its Label\ItsTV\ItsTV.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] :C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_0 -reboot 1

O4 - HKCU\..\Run: [OM_Monitor] C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ~Disabled

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/d...can_unicode.cab

O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0..._instmodule.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Program Files\Wireless 802.11g Monitor\WLService.exe

 

--

End of file - 8272 bytes

 

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

g) Rapport d'Anti-Vir

 

Avira AntiVir Personal

Report file date: samedi 17 mai 2008 17:48

 

Scanning for 1276115 virus strains and unwanted programs.

 

Licensed to: Avira AntiVir PersonalEdition Classic

Serial number: 0000149996-ADJIE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Boot mode: Save mode

Username: lagarde

Computer name: LAGARDE-F08F9D5

 

Version information:

BUILD.DAT : 8.1.00.295 16479 Bytes 09/04/2008 16:24:00

AVSCAN.EXE : 8.1.2.12 311553 Bytes 27/04/2008 20:35:00

AVSCAN.DLL : 8.1.1.0 53505 Bytes 27/04/2008 20:35:00

LUKE.DLL : 8.1.2.9 151809 Bytes 27/04/2008 20:35:01

LUKERES.DLL : 8.1.2.1 12033 Bytes 27/04/2008 20:35:01

ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 08:26:36

ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07/03/2008 17:19:02

ANTIVIR2.VDF : 7.0.4.0 1554432 Bytes 05/05/2008 20:30:10

ANTIVIR3.VDF : 7.0.4.52 329728 Bytes 16/05/2008 20:35:30

Engineversion : 8.1.0.46

AEVDF.DLL : 8.1.0.5 102772 Bytes 27/04/2008 20:35:03

AESCRIPT.DLL : 8.1.0.33 266618 Bytes 15/05/2008 20:41:20

AESCN.DLL : 8.1.0.18 119156 Bytes 15/05/2008 20:41:12

AERDL.DLL : 8.1.0.20 418165 Bytes 27/04/2008 20:35:03

AEPACK.DLL : 8.1.1.5 364918 Bytes 15/05/2008 20:41:07

AEOFFICE.DLL : 8.1.0.18 192890 Bytes 27/04/2008 20:35:03

AEHEUR.DLL : 8.1.0.29 1253750 Bytes 15/05/2008 20:41:01

AEHELP.DLL : 8.1.0.14 115063 Bytes 27/04/2008 20:35:03

AEGEN.DLL : 8.1.0.21 303477 Bytes 15/05/2008 20:40:37

AEEMU.DLL : 8.1.0.6 430451 Bytes 07/05/2008 20:29:22

AECORE.DLL : 8.1.0.29 168311 Bytes 15/05/2008 20:40:27

AVWINLL.DLL : 1.0.0.7 14593 Bytes 27/04/2008 20:35:00

AVPREF.DLL : 8.0.0.1 25857 Bytes 27/04/2008 20:35:00

AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 12:16:24

AVREG.DLL : 8.0.0.0 30977 Bytes 27/04/2008 20:35:00

AVARKT.DLL : 1.0.0.23 307457 Bytes 27/04/2008 20:35:00

AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 27/04/2008 20:35:00

SQLITE3.DLL : 3.3.17.1 339968 Bytes 27/04/2008 20:35:02

SMTPLIB.DLL : 1.2.0.19 28929 Bytes 27/04/2008 20:35:01

NETNT.DLL : 8.0.0.1 7937 Bytes 27/04/2008 20:35:01

RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 27/04/2008 20:34:48

RCTEXT.DLL : 8.0.32.0 86273 Bytes 27/04/2008 20:34:49

 

Configuration settings for the scan:

Jobname..........................: Complete system scan

Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp

Logging..........................: low

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:,

Scan memory......................: on

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: medium

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

 

Start of the scan: samedi 17 mai 2008 17:48

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'guard.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

12 processes with 12 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting to scan the registry.

The registry was scanned ( '31' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\pagefile.sys

[WARNING] The file could not be opened!

C:\Documents and Settings\All Users.WINDOWS\Documents\Mes vidéos\ZENSOFT_300 (D)\Adobe Acrobat\Reader\Japanese\ar405jpn.exe

[WARNING] No further files can be extracted from this archive. The archive will be closed

C:\Documents and Settings\lagarde\Bureau\ComboFix.exe

[DETECTION] Contains detection pattern of the application APPL/Tool.NirCmd.D

[DETECTION] Contains detection pattern of the application APPL/Rmadmin.131072

[DETECTION] Contains detection pattern of the SPR/Tool.PV program

[WARNING] The file was ignored!

C:\Documents and Settings\lagarde\Bureau\Flash_Disinfector.exe

[DETECTION] Contains detection pattern of the application APPL/NirCmd.2

[WARNING] The file was ignored!

C:\Documents and Settings\lagarde\Bureau\SmitfraudFix.exe

[0] Archive type: RAR SFX (self extracting)

--> SmitfraudFix\Reboot.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program

--> SmitfraudFix\restart.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[WARNING] The file was ignored!

C:\Documents and Settings\lagarde\Bureau\SmitfraudFix\Reboot.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Reboot.C program

[NOTE] The file was moved to '489105d1.qua'!

C:\Documents and Settings\lagarde\Bureau\SmitfraudFix\restart.exe

[DETECTION] Contains detection pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was moved to '48a205d6.qua'!

C:\QooBox\Quarantine\C\Documents and Settings\All Users.WINDOWS\Application Data\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe.vir

[DETECTION] Contains detection pattern of the SPR/Fake.MalWar2008 program

[NOTE] The file was moved to '489b1fdc.qua'!

C:\QooBox\Quarantine\C\WINDOWS\oadkxrts.exe.vir

[DETECTION] Is the Trojan horse TR/Vapsup.fdg

[NOTE] The file was moved to '48931fe7.qua'!

C:\QooBox\Quarantine\C\WINDOWS\system32\nvnugoqy.dll.vir

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[NOTE] The file was moved to '489d2003.qua'!

C:\QooBox\Quarantine\C\WINDOWS\system32\sfqvdcuw.dll.vir

[DETECTION] Is the Trojan horse TR/Vundo.Gen

[NOTE] The file was moved to '48a01ff8.qua'!

 

 

End of the scan: samedi 17 mai 2008 22:31

Used time: 4:43:09 min

 

The scan has been done completely.

 

7511 Scanning directories

229737 Files were scanned

12 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

0 files were deleted

0 files were repaired

6 files were moved to quarantine

0 files were renamed

2 Files cannot be scanned

229725 Files not concerned

1915 Archives were scanned

5 Warnings

6 Notes

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

h) Rapport de EWIDO

 

_______________________________________________

ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________

 

 

Name: TrackingCookie.Smartadserver

Path: C:\Documents and Settings\lagarde\Cookies\lagarde@smartadserver[2].txt

Risk: Medium

 

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

i) Rapport de MBAM

 

Malwarebytes' Anti-Malware 1.12

Version de la base de données: 760

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 107973

Temps écoulé: 3 hour(s), 45 minute(s), 12 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 5

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Adsl Software Limited (Rogue.MalWarrior) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\pvnsmfor.bgxw (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\pvnsmfor.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\QooBox\Quarantine\C\WINDOWS\vbksrofa.dll.vir (Trojan.FalkeAlert) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{BB616C19-9308-4AEE-AE53-7E9CBAFF6409}\RP320\A0094031.dll (Trojan.FalkeAlert) -> Quarantined and deleted successfully.

 

 

A bientôt !

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Yo!

 

Tu as bien bossé :P , la désinfection s'est très bien passée malgré les difficultés :P !

 

 

BONNE LECTURE!!

 

Merci! c'est vrai que c'est moins sympa que des romans ou France Football !!

 

 

2) HijackThis--> Aucune des 3 lignes que tu m'a cité n'étaient présentes icon_Doute.gif

 

Pas grave: comme les fichiers ont étés supprimés par les CFScripts, XP les a viré tout seul au démarrage, tant mieux!

 

 

b) Ils me disent après d'aller dans la base de registre afin de détruire 17 clés.

Je l'ai ai toute supprimées sauf les 3 suivantes que je n'ai pas vu malgrè y avoir passé beaucoup de temps

 

Alors c'est qu'elles n'existent pas ou plus, pas de souci.

 

 

 

6) Boonty Games (à désactiver) --> Ca à bien marché normalement

 

Probablement, mais l'entré existe encore...On va s'en charger!

 

7) AntiVir (sous mode sans échec)--> Ca c'est bien passé. AntiVir m'a détecté plusieurs Trojans. Il y en avaient provenant de :ComboFix, SMITFRAUD, Flash_Desinfector etc.. des logiciels que tu m'a passé ainsi que ANGELIQUE icon_Smiliee.gif une autre modératrice auparavant.

 

Oui, ce sont des faux positifs, tu as bien fait de ne pas les supprimer.

 

 

On poursuit, ce sont les dernières étapes, ta machine sera saine à la sortie de ce post! Suis scrupuleusement les étapes dans l'ordre indiqué.

 

 

efafa0cd58fcc0b559a37b26a37b.jpegTOOLBARS ! efafa0cd58fcc0b559a37b26a37b.jpeg

 

Nous déconseillons, sur nos forums de sécurité, l'utilisation de toolbars: en général elles n'aident en rien et ont des visées essentiellement publicitaires:voir ces liens:

 

 

 

Tiens, voilà les conditions d'utilisation de la toolbar Google:

 

 

Utilisation de Google (extrait des conditions d'utilisation):

 

"Informations personnelles et autres données collectées

 

* Google recueille des informations personnelles lorsque vous vous inscrivez à un service Google ou lorsque vous fournissez ces informations de votre propre initiative. Elles peuvent en outre être combinées avec les informations issues d'autres services Google ou de tiers, dans le but d'en rendre l'utilisation plus agréable et, le cas échéant, de proposer des contenus personnalisés.

* Google utilise des cookies et d'autres technologies afin de faciliter votre utilisation des services Google, afin d'étudier l'usage qui en est fait et plus généralement afin d'améliorer nos prestations.

* A chaque fois que vous consultez notre site Internet ou faites appel à nos services, les serveurs de Google enregistrent automatiquement des informations telles que l'URL, l'adresse IP, le type et la langue du navigateur, ainsi que la date et l'heure de la connexion.

* Pour plus d'informations, veuillez vous reporter à la version complète de la Charte de confidentialité de Google. "

Source: http://www.google.be/intl/fr/privacy.html

 

"La barre d'outils Google a été conçue pour être utilisée en combinaison avec les services de recherche Google. En conséquence, l'utilisation que vous faites de la barre d'outils Google est également définie par les Conditions d'utilisation et par les Règles de confidentialité énoncées par Google."

Source: http://tools.google.com/firefox/toolbar/FT...fr/install.html

 

 

Sous le langage policé ("améliorations de nos prestations, recueil des infos personnelles pour proposer un contenu personnalisé", etc...), il faut en fait comprendre que Google récupère des infos sur ton profil commercial pour mieux te cibler publicitairement...

 

Par ailleurs elles pourrissent les navigateurs en se greffant dessus...Procède comme suit:

 

 

flechedroitets2.pngDESINSTALLATION de BASE

  • Ouvre Firefox
  • Choisir Outils, puis Modules complémentaires
  • Chercher le module Google Toolbar] et cliquer sur Désinstaller
  • Redémarrer Firefox
  • Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" de ton Panneau de Configuration

 

 

 

5) INCREDIMAIL (désinstallation) --> a) Avant de faire la procédure, ils me disent d'utiliser CCleaner. Je l'ai téléchargé en prenant le sujet le plus récent dans ce forum, afin d'avoir une version récente, mais ensuite je ne sais pas m'en servir icon_rolleyes.gif.

 

Ok. J'espère que tu n'as pas installé la Yahoo! Toolbar à l'install' de CCleaner!

 

Voilà comment l'utiliser, tu peux le faire dès maintenant:

 

flechedroitets2.pngCCLEANER SLIM

 

  • Lance CCleaner
  • Clique sur l'onglet : "Registre"
  • Clique sur "Rechercher des erreurs" puis "Corriger les erreurs"
  • Répond "oui" à la demande de sauvegarde proposée et enregistre-la dans tes documents
  • Clique sur l'onglet "nettoyeur" puis "lancer le nettoyage"
  • Pas de rapport à fournir ce coup-ci !

 

 

 

3) SMITFRAUDFIX--> Ca c'est bien passé je pense.

 

Oui, mais c'était seulement un scan: on va maintenant nettoyer avec cet outil, par précaution plus que par absolue nécessité!

 

Comme Antivir a viré des fichiers de SmitFraudFix (il les considère comme des virus...Pourtant le support Avira a été prévenu à ma connaissance. Bref!), il te faut le désinstaller à partir de ton Panneau de Configuration puis le réinstaller:

 

 

flechedroitets2.png SMITFRAUDFIX

 

  • Désactive Antivir (clic droit sur le parapluie en bas à droite, puis sélectionne la bonne option)
  • Télécharge systemsr4.pngSmitfraudFix de S!Ri, balltrap34 et moe31 en cliquant sur cette image:
     
    114317848920080426014212.jpg
  • Redémarre ton ordinateur en mode
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis l'option pour exécuter Windows en mode sans échec AVEC prise en charge réseau , puis appuie sur "Entrée".
  • Choisis ton compte
  • Là, relance Smitfraudfix
    Note : L'option 2 que nous allons lancer supprimera les infections traitées par l'outil,
    mais l'option 2 de SmitFraudFix enlève aussi le fond d'écran !
     
    --> Si tu souhaites conserver ton fond d'écran,assure-toi d'avoir sauvé ton image d'arrière-plan sous un nom précis à un endroit que tu sais retrouver avant de lancer SmitFraudFix !
  • Choisis l'option 2 puis valide avec la touche [entrée]
     
    --> A la question "Voulez-vous nettoyer le registre ?" répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
    --> A la question "Corriger le fichier infecté ?" répondre O (oui) pour remplacer le fichier corrompu.
    --> A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.
    --> Fais un copier-coller du contenu de ce rapport dans ta prochaine réponse

 

 

 

flechedroitets2.pngEWIDO

 

  • Double-clique sur le fichier ewido_micro.exe pour l'exécuter.
  • Connecte éventuellement tes clés USB et disques externes.
  • Le programme va demander dès son lancement un accès internet pour se mettre à jour, accepte.
  • Puis, un nouvel écran apparaît, assure toi que toutes les cases soient cochées.
  • Clique sur Start Scan et laisse l'outil travailler.
  • Quand l'outil à fini, FERME TES NAVIGATEURS puis clique sur Remove infections
  • Enfin, si tu as la version Free de AVG Antispyware, désinstalle-là: Ewido la remplacera (Ewido utilise les bases de données d'AVG :P !)

 

 

 

flechedroitets2.pngNETTOYER LES POINTS DE RESTAURATION

  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", sélectionner "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquer sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".
  • Redémarrer
  • Puis:
  • Aller dans le menu "Démarrer"
  • Cliquer droit sur l'icone "Poste de travail"
  • Dans l'onglet "Restauration du système", décocher la case "Désactiver la Restauration du système sur tous les lecteurs".
  • Cliquer sur "Appliquer."
  • Lorsque le message de confirmation apparaît, cliquer sur "Oui"

  • Cliquer enfin sur "OK".

 

 

 

flechedroitets2.pngMISE A JOUR de JAVA

 

java est un élément essentiel pour la navigation, et il est souvent mis à jour pour corriger ses vulnérabilités. Ta version est obsolète:

 

  • Dans ton Panneau de Configuration, clique sur l'icône JAVA
  • Dans la fenêtre qui s'ouvre, clique sur l'onglet "Mise à jour"
  • Clique en bas sur "Mettre à jour maintenant" et laisse l'update s'installer

 

 

 

flechedroitets2.pngCREATION/EXECUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

 

  • Ouvre un nouveau fichier du Bloc-notes
  • "Copie/Colle" tout le contenu de la boîte Code ci-dessous (mais n'inclus pas le mot "Code") dans le fichier texte du bloc-note:
     
    KillAll

 File:
 C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT2.tmp

 Folder::
 C:\Program Files\IncrediMail

 Driver::
 Boonty Games


  • Sauvegarde ce fichier sur ton Bureau en l'appelant IMPERATIVEMENT CFScript.txt
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de Lezenete, ne pas l'utiliser pour votre propre machine!!

  • Désactive ton antivirus et ton antispyware
     

  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.

    CFScript.gif
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.log apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste le rapport suivant dans ta prochaine réponse :
     
    - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

 

 

 

flechedroitets2.pngHIJACKTHIS

 

  • Relance HijackThis
  • Sélectionne "Do a scan only"
  • Coche les lignes suivantes si elles existent:
     
     
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
     
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
     
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
     
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
     
    O4 - Startup: ~Disabled
  • Ferme tes navigateurs
  • Clique en bas sur "Fix checked"
  • Redémarre
  • Poste un nouveau log HijackThis pour contrôle!

 

 

 

flechedroitets2.pngVIDER LA QUARANTAINE ANTIVIR

 

 

En t'inspirant de cette image:

 

01234ch8ed8.gif

 

 

flechedroitets2.png INSTALLER UN HOSTS AVEC HPHOSTS

 

 

  • Télécharger le logiciel hpHosts en cliquant sur cette image:
     
    645spc3.png
  • Installer-le en cliquant successivement sur "next" puis "install"
  • Avant la fin de l'installation une fenêtre apparaît: cocher "Disable Windows DNS Client (recommended)"
  • Redémarrer

 

 

Et voilà!!

 

Bon courage!

 

Ogu

Modifié par oGu
je-rom Extrem Member

je-rom

Posté(e)
Posté(e)

Salut uGo! :P

 

Je suis content que ça ait bien marché en général ce que j'ai fais. En ce moment, j'ai pas mal de boulot d'école (révisions) je commencerai les procédures plus tard.

 

Pour répondre à ta question: "J'espère que tu n'as pas installé la Yahoo! Toolbar à l'installation de CCleaner". La réponse est non, t'inquiète pas, j'ai décoché cette case car le mec du post l'avait bien précisé.

 

Ensuite, j'ai lu un peu ce que tu m'avais posté et j'ai des questions:

 

1) Pour Firefox, je pense que je vais pas très bien comprendre cette 1ère procédure car moi j'ai InternetExplorer. Certes, j'ai toujours entendu dire que Firefox était mieux que InternetExplorer , mais comme je ne m'en suis jamais servi, mieux vaut que je garde celui que j'ai en ce moment non?

Si non, pourrais-tu m'envoyer le lien du Firefox en question s'il te plaît pour que je puisse appliquer la procédure, merci.

 

2) Tu me dis: "si tu as la version Free de AVG Antispyware, désinstalle-là: Ewido la remplacera (Ewido utilise les bases de données d'AVG !)". C'est le Cas, j'ai bien AVG, par contre je veux savoir si je dois désinstaller AVG définitivement ou temporairement le temps de la procédure de EWIDO?

 

3) J'ai lu rapidement les liens au sujets des toolbars, ça confirme mes inquiétudes. Je déteste être espionné, j'espère qu'on pourra protéger mon pc contre ça. Puis faudrais que tu me dises si ya un moyen de protéger mon pc avec un bon anti-virus ou autre chose gratuit, car malgrès avoir AntiVir et le mettre régulièrement à jour, ta vus tous ce que j'ai attrapé....

oGu Godlike Member

oGu

Posté(e)
Posté(e) (modifié)

Yo!!

 

Je suis content que ça ait bien marché en général ce que j'ai fais. En ce moment, j'ai pas mal de boulot d'école (révisions) je commencerai les procédures plus tard.

 

Pas de problème! Les études passent avant le PC, et une désinfection se mène au calme, la tête froide.

 

 

 

 

 

Pour Firefox, je pense que je vais pas très bien comprendre cette 1ère procédure car moi j'ai InternetExplorer.

 

Arf, j'avais pas fait attention que tu tournais sous IE7...Firefox est clairement conseillé au niveau sécuritaire, tu devrais l'essayer, il est simple à comprendre et importe automatiquement tous tes favoris d'Internet Explorer. On y reviendra à la fin si tu veux, et on pourra le sécuriser contre les pubs, virus divers etc...

 

Du coup, passe la procédure Firefox et applique celle-ci:

 

flechedroitets2.pngDESINSTALLATION de BASE

  • Ouvre Internet Explorer
  • Choisir Outils/Options Internet, puis l'onglet Avancé.
  • Cliquer sur Outils/Gestion des modules complémentaires
  • Chercher le module Google Toolbar ou équivalent et le désactiver
  • Redémarrer Internet Explorer
  • Désinstaller la toolbar Google avec le module "ajouter/supprimer des programmes" du Panneau de Configuration

 

 

 

Tu me dis: "si tu as la version Free de AVG Antispyware, désinstalle-là: Ewido la remplacera (Ewido utilise les bases de données d'AVG !)". C'est le Cas, j'ai bien AVG, par contre je veux savoir si je dois désinstaller AVG définitivement ou temporairement le temps de la procédure de EWIDO?

 

Uniquement dans le cas où ta version est la gratuite: la désinstaller définitivement et la remplacer par Ewido.

 

Puis faudrais que tu me dises si ya un moyen de protéger mon pc avec un bon anti-virus ou autre chose gratuit, car malgrès avoir AntiVir et le mettre régulièrement à jour, ta vus tous ce que j'ai attrapé....

 

On pourra sécuriser ta machine, mais concernant tes infections, c'est probablement plus ton comportement que les logiciels de défense qu'il faut incriminer :P !

 

Tu as installé des faux-logiciels sans te renseigner à leur propos, tu as utilisé deux attrape-nigauds avec Boonty Games et Incredimail. Vundo pour sa part s'attrape souvent via des mails piégés, donc tu as du manquer de vigilance, et je ne serai pas étonné également que tu ais chopé deux trois trucs avec des cracks, du peer-to-peer, des pages MySpace hackées, voire des fausses pages/vidéos porno, vu la profondeur de ton infection :P !

 

Une infection, en tout état de cause, ne peut pas s'installer toute seule, à ton insu, sans que tu ais, à un moment ou un autre, failli.

 

 

A+ pour la suite!!

Modifié par oGu

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...