DLL dengeureuse

[mephistofallus]

Bonjour a tous!

Je suis novice dans ce forum et j'ai besoin de votre aide pour eradiker une DLL (C:\Windows\System32\F3185C62.DLL ki me cree autorun dans

tous les disk de la machine.

il cree egalement des DLL dans mes fichiers de restauration. J'utilise McAfee Enterprise version 8.5i mis a jour regulierement.

il voit bien la DLL mais il ne peut pas la supprimer

 

voici mon log aidez moi s'il vous plait

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:30:29, on 04/06/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Installe\Common Framework\FrameworkService.exe

D:\Installe\McAfee\Mcshield.exe

D:\Installe\McAfee\VsTskMgr.exe

D:\Installe\Common Framework\naPrdMgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Launch Manager\LaunchAp.exe

C:\Program Files\Launch Manager\PowerKey.exe

C:\Program Files\Launch Manager\HotkeyApp.exe

C:\Program Files\Launch Manager\OSDCtrl.exe

C:\Program Files\Launch Manager\Wbutton.exe

C:\acer\epm\epm-dm.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe

D:\Installe\Nokia\NOKIAP~1\LAUNCH~1.EXE

D:\Installe\McAfee\SHSTAT.EXE

D:\Installe\Common Framework\UdaterUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe

D:\Installe\Common Framework\McTray.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\Free Download Manager\fdm.exe

D:\Installe\Nokia\Nokia PC Suite 6\PcSync2.exe

D:\Installe\36Dicos\MediaDICO36.EXE

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

D:\Installe\36Dicos\Rac36.EXE

C:\PROGRA~1\Webshots\webshots.scr

C:\PROGRA~1\FICHIE~1\Nokia\MPAPI\MPAPI3s.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=552...cid={SUB_CLCID}

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?linkid=54834

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - D:\Installe\McAfee\Scriptcl.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [LaunchAp] "C:\Program Files\Launch Manager\LaunchAp.exe"

O4 - HKLM\..\Run: [PowerKey] "C:\Program Files\Launch Manager\PowerKey.exe"

O4 - HKLM\..\Run: [LManager] "C:\Program Files\Launch Manager\HotkeyApp.exe"

O4 - HKLM\..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe"

O4 - HKLM\..\Run: [LMgrOSD] "C:\Program Files\Launch Manager\OSDCtrl.exe"

O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [mmtask] C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [ssAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Installe\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [shStatEXE] "D:\Installe\McAfee\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Installe\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [RocketDock] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [MediaDICO36] D:\Installe\36Dicos\LanceMediaDICO36.exe Lancement

O4 - HKCU\..\Run: [PcSync] D:\Installe\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll

O23 - Service: 914AFC51 - Unknown owner - C:\WINDOWS\system32\60DCA836.EXE

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - D:\Installe\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - D:\Installe\McAfee\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - D:\Installe\McAfee\VsTskMgr.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

 

--

End of file - 9937 bytes

 

Merci

[angelique]

Je me fie à ton explication rigoureuse!

 

toute façon McAfee c'est une bouzeuse , on y reviendra plus tard...............La preuve, ton Help!!

 

Dans l'ordre:

 

1•» désactiver TeaTimer::

 

Pour désactiver TeaTimer :

 

Afficher d'abord le Mode Avancé dans SpyBot

 

Options Avancées :

- menu Mode, Mode Avancé.

 

Une colonne de menus apparaît dans la partie gauche :

 

- cliquer sur Outils,

- cliquer sur Résident,

Dans Résident :

- décocher Résident "TeaTimer" pour le désactiver.

 

2•» lance Hijackthis "open the mis Tolls section" \ "delete a NT service et copies_colles la lignes ci dessous et clic OK

 

914AFC51

 

3•» désactive temporairement JUSTE l'antivirus de McAfee

 

4•» Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

5•» ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

 

File::
C:\WINDOWS\system32\60DCA836.EXE
C:\Windows\System32\F3185C62.DLL

 

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>

[*]Choisis "Enregistrer sous" et choisis "Bureau"

[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript en fichier .txt

[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"

[*]Quitte le Bloc Notes.

[*]Fait un glisser/déposer de ce fichier CFScript.txt sur le fichier ComboFix.exe comme sur la capture

 

 

 

 

* suis les instructions

* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

 

-----------------------------------------------------------

 

NB!! : t'as un pseudo de pervers sexuel » mephistofallus !!!!!!!!!!!!!!!!!!!

 

tu postes via un FAI d'israel??

Tech IP Planet

21 Yegia Kapaim St.

Petach-Tikva

Israel

+972 3 9255015

+972 3 9217938

 

edit» je te lis demain matin H_Fr

[mephistofallus]

Bonjour Angelique!

Desole d'avoir ete un peu long.J'ai passe des moments un peu difficils avec cette 'CHOSE'.

 

Avant de lire ta proposition j'ai eu l'idee de faire scanner ma machine en reseau par des machines ayant kav.

l'Erreur ke j'ai commise est ke je n'ai fait ke scanner le C:, donc apres 1min de paix la 'CHOSE' est revenue en force en provenance du E: , puis elle a envahi le D: pour finalement revenir a sa place dans le C:.

Au bout de 10 min j'etai revenu au point de depart.

(Remark:)kav a trouve 49 fichiers infestes unikement dans le C: tout de meme!(tandis ke McAfee se tournait les pouces)

 

J'ai bien suivi l'etape1 a la lettre. Voici le resultat.

 

The service '914AFC51' is enable and/or running.DIsable it first, using HijackThis itself(from the scan results) or the Services.msc window.

 

Me voici donc dans les services windows

-Je change son type de demarrage a 'Desactive' (sans succes il revient a automatik bien k'il affiche Desactive)

-Je desactive le service pour le profil materiel

-Apparemment ce service ne depend pas de composants system et aucun composant system ne depend de lui.(tant mieux)

-Dans ses proprietes on me parle du chemin d'acces des fichiers executables. C:\Windows\System32\60DCA836.EXE -k

 

-Comme cella ressemble etrangement a une commande (a cause de l'option -k), j'essai donc 60DCA836.EXE -s (pour Stop au cas ou).

-Aucun signe donc la commande a l'air d'etre passee(je ne sais pas pkoi je l'ai fait.peut etre en desespoir de cause)

 

.Il etait impossible pour moi de telecharger ComboFix en raison de la fermeture brutale de toute fenetre windows Internet Explorer lorsk je clik sur le lien.

 

Je redemarre la machine,Le bataillon de autorun se fait tuer comme d'hab.Sauf ke cette fois ci MIRACLE!!!! La fameuse DLL est detruite.(je ne sais pas si c'est a cause du tripatouillage du fichier executable????? ou alors HijackThis a fini par le fixer).

Je lance rav et... rien du tout. Votre ordinnateur est sain.Ca change des centaines de lignes ke je retrouvais apres seulement 5min de scan.

En ce moment precis je suis en train de faire je l'espere mon dernier scan avec McAfee car je me demandai si tu pourrais m'indiker un antivirus capable de me proteger comme il se doit (et gratuit...).

Tu as totalement raison.McAfee est une bouzeuse... cette experience mark la fin de nos 3ans de collaboration.

Autre chose: La 'CHOSE' m'empeche d'installer kav(Kaspersky v7.0 ou autre version) car j'y est deja eu recours la premiere fois pour l'exterminer(TOTAL RESPECT AMIS CRACHEURS DE CODE).

Voila ma situation pour l'instant.

Je te tiendrai au courrant de l'evolution de la situation si tu me le permets.

Merci beaucoup Angelique de ta sollicitude.

[angelique]

• j'ai pas fais grand chose pour t'aider

 

je me demandai si tu pourrais m'indiker un antivirus capable de me proteger comme il se doit (et gratuit...).

Tu as totalement raison.McAfee est une bouzeuse... cette experience mark la fin de nos 3ans de collaboration.

 

outils de desinstallation de McAfee ::

 

Télécharger et exécuter l'outil de suppression McAfee

 

1. Téléchargez l'outil de suppression sur http://download.mcafee.com/products/licens...atches/MCPR.exe

2. Cliquez sur Enregistrer et enregistrez le fichier dans un dossier de votre ordinateur.

3. Allez au dossier où est enregistré le fichier.

4. Double-cliquez sur MCPR.exe.

5. Cliquez sur Exécuter. Une fenêtre de commande apparaît, puis se referme automatiquement. Attendez que la seconde fenêtre de commande s'affiche. (ne double-cliquez pas une seconde fois sur MCPR.exe.) Le programme va lancer le nettoyage.

6. Attendez la fin du processus, qui peut prendre quelques minutes. Le message suivant apparaîtra dans la fenêtre de commande :

 

L'ordinateur doit être redémarré pour conclure la désinstallation. Souhaitez-vous redémarrer maintenant ? [o.n]

7. Tapez O (ou Y si l'interface vous propose [y.n] comme choix) sur votre clavier.

8. Attendez que votre ordinateur redémarre.

 

Tous les produits McAfee ont maintenant été supprimés de votre ordinateur.

 

Excellent antivirus free :: http://dl1.avgate.net/down/windows/antivir...n_winu_en_h.exe

 

tuto:: http://www.malekal.com/tutorial_antivir.php \ http://www.libellules.ch/tuto_antivir.php

 

• tu peux me reposter un rapport Hijackthis si tu veux que je rejette un œil

 

• si tu vire McAfee , assure toi que le parefeu du sp2 est bien réactivé s'il etait desactivé.Si tu es derriere un routeur c'est mieux.