Résolu : système infecté par un virus

[sénèque]

Je ne sais pas qui a installé Dial messenger et ne connaissant ni le pseudo ni le mot de passe je ne parvient pas à le désinstaller.

 

Malwarebytes' Anti-Malware 1.19

Version de la base de données: 918

Windows 5.1.2600 Service Pack 2

 

09:53:31 03/07/2008

mbam-log-7-3-2008 (09-53-31).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)

Eléments examinés: 107776

Temps écoulé: 14 minute(s), 22 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\poof (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Documents and Settings\alex et max\Local Settings\Temp\NI.UGA6PV_0001_N108M0207 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\alex et max\Local Settings\Temp\NI.UGA6PV_0001_N108M0207\settings.ini (Rogue.Multiple) -> Quarantined and deleted successfully.

[sénèque]

Je fais quoi maintenant?

Je ne peux pas désinstaller Dial messenger même avec le mot de passe et apparemment je ne suis pas la seule à avoir des problèmes avec ce site. J'ai tapé Dial messenger dans Google et suis tombée sur un forum le concernant, plein de gens mécontents qui comme moi ont leur PC infecté par des spywares.

[Thanos]

salut

 

Désolé pour l'attente!

 

En ce qui concerne ce problème de désinstallation du programme DialMessenger, nous allons faire une petite recherche dans le registre pour en éliminer les traces >>

 

1°) Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

• dézippe dans un répertoire dédié tel que C:\Program Files
  
• double clique sur RegSearch.exe
  
• copie colle l'entrée en bleu dans la ligne de la zone de recherche >
   
  DialMessenger
   
   
  
• rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  
• après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  
• le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  
• copie-colle le contenu de la fenêtre dans un post, ici
  
• ferme le bloc-notes et ferme RegSearch par Cancel
  

Note: le résultat de Regsearch risque d'être long!! aussi utilise deux posts pour le coller s'il le faut (en entier).

 

2°) Utilisation d'hijackthis

• Double clique sur hijackthis.exe qui se trouve sur ton Bureau: voici son icône >>
  
• Si tu ne vois pas cette icône sur le Bureau, rend toi dans le dossier suivant C:\Program Files\Trend Micro\HijackThis et double clique sur hijackthis.exe
  
• Accepte la license en cliquant sur le bouton "I Accept"
  
• Choisis l'option "Do a system scan only" et coche les cases suivantes >>
  
  F2 - REG:system.ini: UserInit=userinit.exe,
   
  O2 - BHO: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll
  O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
   
  O3 - Toolbar: GamesBar - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - C:\Program Files\GamesBar\oberontb.dll
   
  O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
  O4 - HKCU\..\Run: [DialMessenger] "C:\Program Files\DialMessenger\dialmessenger.exe" -background
  O4 - HKCU\..\Run: [bdebbps] c:\documents and settings\laurence guilmin\local settings\application data\bdebbps.exe bdebbps
  O4 - HKCU\..\Run: [kwcam] c:\documents and settings\laurence guilmin\local settings\application data\kwcam.exe kwcam
  
   
  
• Ferme tous les programmes et clique sur "Fix Checked"
  

Note: certaines des lignes que je pointe peuvent ne plus être présentes, ne t'inquiêtes pas!

 

3°) Redémarre ton pc et télécharge ce programme >>

 

Télécharger OTMoveIt2 par OldTimer.

• Enregistrer ce fichier sur le Bureau.
  
• Faire un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  C:\WINDOWS\system.exe
  C:\autorun.inf
  D:\autorun.inf
  F:\RECYCLED\INFO.exe
  C:\Program Files\Multi_Media_France
  C:\Program Files\DialMessenger
  C:\Program Files\GamesBar
  C:\Program Files\navilog1

  
  

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Standard List of Files/Folders to Move" (sous la barre bleu clair) puis choisir Coller.
  
• Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  EmptyTemp

  
  

• Retourner dans la fenêtre de OTMoveIt2, faire un clic droit dans la zone "Paste Custom List Of Files/Patterns To Move" (sous la barre jaune) puis choisir Coller.
  
• Cliquer sur le bouton rouge Moveit!.
  
• Copier tout ce qui se trouve dans la zone Results (sous la barre verte) dans le Presse-papiers en sélectionnant TOUTES LES LIGNES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier), et coller ces résulats en réponse sur le forum.
  
• Fermer OTMoveIt2
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.

 

Poste stp les deux rapports demandés (Regsearch et OtMoveIt)

[sénèque]

Salut Thanos, contente de te lire à nouveau, j'ai eu peur un instant que tu soit parti en vacances.

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.5.0

 

; Results at 06/07/2008 09:36:31 for strings:

; 'dialmessenger'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DialMessenger_is1]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DialMessenger_is1]

"Inno Setup: App Path"="C:\\Program Files\\DialMessenger"

"InstallLocation"="C:\\Program Files\\DialMessenger\\"

"Inno Setup: Icon Group"="DialMessenger"

"DisplayName"="DialMessenger v2.13"

"UninstallString"="C:\\Program Files\\DialMessenger/uninstall.exe"

"QuietUninstallString"="C:\\Program Files\\DialMessenger/uninstall.exe"

"URLInfoAbout"="http://www.dialmessenger.com/"'>http://www.dialmessenger.com/"'>http://www.dialmessenger.com/"

"HelpLink"="http://www.dialmessenger.com/"

"URLUpdateInfo"="http://www.dialmessenger.com/"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]

"url1"="C:\\Documents and Settings\\All Users\\Menu Démarrer\\Programmes\\DialMessenger"

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\DialMessenger]

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"DialMessenger"="\"C:\\Program Files\\DialMessenger\\dialmessenger.exe\" -background"

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"C:\\Program Files\\DialMessenger\\dialmessenger.exe"="DialMessenger"

"C:\\Program Files\\DialMessenger\\uninstall.exe"="DialMessenger Uninstaller"

 

; End Of The Log...

[sénèque]

J'espère que c'est OK, je n'ai pas trouvé la zone patterns to move dans OTMovelt2

voici le rapport :

 

File/Folder C:\WINDOWS\system.exe not found.

File/Folder C:\autorun.inf not found.

File/Folder D:\autorun.inf not found.

File/Folder F:\RECYCLED\INFO.exe not found.

File/Folder C:\Program Files\Multi_Media_France not found.

File/Folder C:\Program Files\DialMessenger not found.

File/Folder C:\Program Files\GamesBar not found.

File/Folder C:\Program Files\navilog1 not found.

File/Folder not found.

File/Folder not found.

File/Folder not found.

< EmptyTemp >

File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5c8.dat scheduled to be deleted on reboot.

File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.

Temp folders emptied.

IE temp folders emptied.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 07062008_114324

 

Files moved on Reboot...

File C:\WINDOWS\temp\Perflib_Perfdata_5c8.dat not found!

File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!

[Thanos]

salut

 

Question: est ce que tu as lancé OTMovelt2 deux fois ??

 

1°) Stp rend toi sur cette page afin de télécharger le fichier fix.reg sur ton bureau > http://www.sendspace.com/file/8egpyx

pour cela, clique sur le lien en bas de page > Download Link: fix.reg

 

Double clique sur le fichier et accepte la fusion avec le registre lorsque le message s'affiche. Elimine le fichier après ca.

 

2°) Relance DSS.exe comme tu as fait dans ce post >>

http://forum.zebulon.fr/systeme-infecte-pa...64#entry1244064

 

Poste le rapport DSS stp.

 

Encore des pubs lors de tes surfs ??

Modifié le 6 juillet 2008 par Thanos

[sénèque]

Oui, j'ai fait ça, deux fois! OUPS...désolée

Je n'ai plus de pubs lors de mes surfs, quel soulagement!

 

Deckard's System Scanner v20071014.68

Run by laurence guilmin on 2008-07-07 00:27:47

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 

System Drive C: has 1.64 GiB (less than 15%) free.

 

 

-- HijackThis (run as laurence guilmin.exe) ------------------------------------

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:27:52, on 07/07/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Google\Google Updater\GoogleUpdater.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Java\jre1.6.0\bin\jucheck.exe

C:\Documents and Settings\laurence guilmin\Bureau\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\LAUREN~1.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.iqon.ie/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll

O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA1.tmp" /EF "HKCU"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Outil de mise à jour Google.lnk = C:\Program Files\Google\Google Updater\GoogleUpdater.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.iqon.ie

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160556794359

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

--

End of file - 7120 bytes

 

-- Files created between 2008-06-07 and 2008-07-07 -----------------------------

 

2008-07-06 17:51:31 0 d-------- C:\WINDOWS\INDSOFT

2008-07-06 09:29:18 352768 --a------ C:\Program Files\regsearch.exe <Not Verified; SteelWerX; Registry Search>

2008-07-03 09:28:26 0 d-------- C:\Documents and Settings\laurence guilmin\Application Data\Malwarebytes

2008-07-03 09:28:24 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-03 09:28:22 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-06-25 19:23:16 0 d-------- C:\Documents and Settings\laurence guilmin\Application Data\LimeWire

2008-06-25 19:23:00 0 d-------- C:\Program Files\LimeWire

2008-06-22 22:38:22 0 d-------- C:\Program Files\Trend Micro

2008-06-13 19:29:15 0 d-------- C:\Documents and Settings\laurence guilmin\Application Data\WinRAR

 

 

-- Find3M Report ---------------------------------------------------------------

 

2008-07-06 23:43:09 0 d-------- C:\Program Files\eMule

2008-07-06 09:37:39 3332 --a------ C:\Program Files\RegSearch.txt

2008-06-25 19:41:49 0 d-------- C:\Program Files\Picasa2

 

 

-- Registry Dump ---------------------------------------------------------------

 

*Note* empty entries & legit default entries are not shown

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [06/08/2005 03:34]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [03/11/2004 03:24]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [21/12/2005 03:54]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [22/05/2006 06:56]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [13/09/2002 21:42]

"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [03/11/2005 16:25]

"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [03/11/2005 16:22]

"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [03/11/2005 16:26]

"SkyTel"="SkyTel.EXE" [16/05/2006 19:04 C:\WINDOWS\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [21/07/2006 17:56 C:\WINDOWS\RTHDCPL.exe]

"Alcmtr"="ALCMTR.EXE" [03/05/2005 19:43 C:\WINDOWS\Alcmtr.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0\bin\jusched.exe" [06/09/2007 09:12]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [16/05/2008 01:19]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11/01/2008 23:16]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [24/03/2006 21:00]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [24/08/2007 21:38]

"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [01/03/2007 08:01]

 

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [13/02/2001 10:01:04]

Outil de mise … jour Google.lnk - C:\Program Files\Google\Google Updater\GoogleUpdater.exe [24/08/2007 21:38:44]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"=C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"=C:\WINDOWS\Resources\Themes\Royale.theme

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{50dc065c-9ddc-11dc-a7fc-001617d7f7b0}]

AutoRun\command- F:\

explore\Command- RECYCLED\INFO.exe

open\Command- RECYCLED\INFO.exe

 

 

 

 

-- End of Deckard's System Scanner: finished at 2008-07-07 00:28:13 ------------

[Thanos]

salut

 

1°) Stp rend toi sur cette page afin de télécharger le fichier fix.reg sur ton bureau > http://www.sendspace.com/file/k2ygi6

pour cela, clique sur le lien en bas de page > Download Link: fix.reg

 

Double clique sur le fichier et accepte la fusion avec le registre lorsque le message s'affiche. Elimine le fichier après ca.

 

Note >> Ce fichier est différent de celui que je t'ai fait téléchargé plus tôt, aussi si tu as conservé l'ancien fix.reg, élimine le avant de télécharger celui ci.

 

2°) Utilisation d'hijackthis

• Double clique sur hijackthis.exe qui se trouve sur ton Bureau: voici son icône >>
  
• Si tu ne vois pas cette icône sur le Bureau, rend toi dans le dossier suivant C:\Program Files\Trend Micro\HijackThis et double clique sur hijackthis.exe
  
• Accepte la license en cliquant sur le bouton "I Accept"
  
• Choisis l'option "Do a system scan only" et coche la case suivante >>
  
  O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
   
  
  
• Ferme tous les programmes et clique sur "Fix Checked"
  

3°) Un fichier que j'aimerai te faire analyser >>

 

Rend toi à cette adresse => http://www.virustotal.com/

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\Program Files\Yetisports\IEButtonYetiSportsEBayInterface.dll

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

@++

Modifié le 7 juillet 2008 par Thanos

[sénèque]

SALUT

J'espère que j'ai tout bon, je suis à la lettre tes explications, mais quelquefois j'ai des doutes.

à+

 

 

Fichier IEButtonYetiSportsEBayInterface.d reçu le 2007.09.03 07:48:23 (CET)

Situation actuelle: terminé

Résultat: 1/32 (3.12%)

Formaté Formaté

Impression des résultats Impression des résultats

Antivirus Version Dernière mise à jour Résultat

AhnLab-V3 - - -

AntiVir - - -

Authentium - - -

Avast - - -

AVG - - -

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - - -

FileAdvisor - - -

Fortinet - - -

Ikarus - - Trojan-PWS.Win32.Lmir

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Panda - - -

Prevx1 - - -

Rising - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - -

Information additionnelle

MD5: 40257252846d474c44a638bdf1af0b70

SHA1: 741a179220b8f55b846a7b38e0c4eaca6ad9a599

SHA256: 025aa2bb4cae957ce8484aca9fb28f58371b8a03e5c1f0b751b0f420ab6b9849

SHA512: a0a3d8e02a34a554724eb4d241bac229738e109a63da849926ccdae3ad00cdd1b755349660f405a1

7b3fbf279e7c950bdfd4ee5048ffc1e33a84eb3237022d54

[Thanos]

salut

 

Le résultat du scan du fichier ne montre rien d'inquiêtant (une seule détection non probante).

Ceci dit, ce BHO (Définition) traine une réputation douteuse... si ce n'est pas toi qui l'a installé, fais ceci >>

 

Passe par le Panneau le Configuration > Ajouter/Supprimer des Programmes et désinstalle >>

YETISPORTS Pingu Throw D.C.

Pourquoi as t'il une réputation douteuse ? si on regarde sur leur site, on tombe vite sur un lien qui mène vers InternetGamebox: un des programmes que tu as installé sans savoir qu'ils pourriraient tes surfs en affichant des pubs intempestives.... (programmes qu'on a éliminé grace à Navilog1 de Il Mafioso)

 

Au passage tu ne dois plus voir ce programme dans le Menu >> DialMessenger

 

Je vais te demander, pour finir, de me poster un dernier rapport DiagHelp ainsi qu'un dernier rapport Hijackthis et c'est bon: je te laisserai quelques conseils de sécurité pour terminer