Infection MS Juan Rapport ComboFix

[Tedbel]

Salut,

J'ai été infecté par Vundo.

J'ai utilisé Avast, puis Malwarebytes, mais il reste en permanence des Malware.Trace de MS Juan

J'ai téléchargé ComboFix.Exe et ai scanné mon PC.

 

Il m'a été conseillé dans le tuto que j'ai conculté d'envoyer le log sur un forum au cas où il reste des résidus d'infection (Ce qu'Avast a détecté).

 

Quelqu'un peut-il interpréter le rapport ComboFix.Exe que voici :

 

ComboFix 08-07-24.3 - Edouard 2008-07-25 13:35:27.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.535 [GMT 2:00]

Endroit: C:\Documents and Settings\Edouard\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\Edouard\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

* Création d'un nouveau point de restauration

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\pskt.ini

C:\WINDOWS\system32\aqagrrot.ini

C:\WINDOWS\system32\avotemby.ini

C:\WINDOWS\system32\bknurfuh.dll

C:\WINDOWS\system32\bsoiooaf.dll

C:\WINDOWS\system32\bsxeecgb.dll

C:\WINDOWS\system32\bxqsdcgu.ini

C:\WINDOWS\system32\chrnmgky.dll

C:\WINDOWS\system32\cyevagdc.ini

C:\WINDOWS\system32\ddqkqdhi.dll

C:\WINDOWS\system32\dfjpmkem.dll

C:\WINDOWS\system32\domnpnts.dll

C:\WINDOWS\system32\drbyvest.dll

C:\WINDOWS\system32\easuyqvf.dll

C:\WINDOWS\system32\eeywopax.ini

C:\WINDOWS\system32\ekdtnhuq.dll

C:\WINDOWS\system32\eyqymlau.ini

C:\WINDOWS\system32\fjmmea.dll

C:\WINDOWS\system32\fpicgroq.dll

C:\WINDOWS\system32\fuvycgbl.ini

C:\WINDOWS\system32\fybuduqu.dll

C:\WINDOWS\system32\gbwhstjk.dll

C:\WINDOWS\system32\gnfxwwtt.ini

C:\WINDOWS\system32\hdzwas.dll

C:\WINDOWS\system32\inmlhsqq.dll

C:\WINDOWS\system32\jajtfmsy.dll

C:\WINDOWS\system32\jggjpcnx.dll

C:\WINDOWS\system32\jhnvdmjn.dll

C:\WINDOWS\system32\jjjonxej.dll

C:\WINDOWS\system32\krckvbfs.dll

C:\WINDOWS\system32\ksxqxcjq.dll

C:\WINDOWS\system32\lvvqftjg.dll

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\mflnfilo.ini

C:\WINDOWS\system32\mldidwdj.ini

C:\WINDOWS\system32\mqclruoi.ini

C:\WINDOWS\system32\oldaejrr.dll

C:\WINDOWS\system32\orguinre.dll

C:\WINDOWS\system32\piklvxng.dll

C:\WINDOWS\system32\qfcoytfx.dll

C:\WINDOWS\system32\rtrflwtt.dll

C:\WINDOWS\system32\sfgmiyjd.ini

C:\WINDOWS\system32\SrBaaGgh.ini

C:\WINDOWS\system32\SrBaaGgh.ini2

C:\WINDOWS\system32\tcrvjvfp.dll

C:\WINDOWS\system32\thdvgyig.dll

C:\WINDOWS\system32\vnvsiiao.dll

C:\WINDOWS\system32\vqxugwdn.ini

C:\WINDOWS\system32\vuqcatki.ini

C:\WINDOWS\system32\wENmnnpo.ini

C:\WINDOWS\system32\wENmnnpo.ini2

C:\WINDOWS\system32\wksmujry.ini

C:\WINDOWS\system32\wqfvyjgt.dll

C:\WINDOWS\system32\wxibposa.ini

C:\WINDOWS\system32\xcncgjss.dll

C:\WINDOWS\system32\xkmnkkdk.dll

C:\WINDOWS\system32\xmjisw.dll

C:\WINDOWS\system32\ynxavhxe.ini

C:\WINDOWS\system32\ytmcts.dll

C:\WINDOWS\system32\zcsnvu.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))))))))

.

 

2008-07-24 19:02 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-07-24 15:04 . 2008-07-24 15:04 <REP> d-------- C:\Documents and Settings\All Users\Application Data\NVIDIA

2008-07-18 22:24 . 2008-07-18 22:24 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-07-14 18:57 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-07-14 18:57 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-07-14 18:57 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-07-14 18:57 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-07-14 18:57 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe

2008-07-14 18:57 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe

2008-07-14 18:57 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe

2008-07-14 18:57 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-07-14 18:57 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-07-14 18:16 . 2008-07-14 18:16 <REP> d-------- C:\Documents and Settings\Administrateur.PC-COMPTA\Application Data\Malwarebytes

2008-07-14 17:40 . 2008-07-14 17:58 4,702 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-14 16:39 . 2008-07-24 19:02 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-07-14 16:39 . 2008-07-14 16:39 <REP> d-------- C:\Documents and Settings\Edouard\Application Data\Malwarebytes

2008-07-14 16:39 . 2008-07-14 16:39 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-14 16:39 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-07-03 09:52 . 2008-07-03 09:53 <REP> d-------- C:\Program Files\InstantTimeZone

2008-06-30 11:04 . 2008-06-30 11:07 587 --a------ C:\WINDOWS\wininit.ini

2008-06-30 09:03 . 2008-07-14 16:50 <REP> d-------- C:\Program Files\Spybot - Search & Destroy

2008-06-30 09:03 . 2008-07-14 16:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-06-26 11:39 . 2008-06-26 11:45 <REP> d-------- C:\Documents and Settings\Edouard\Application Data\beid-cache

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-25 11:10 --------- d-----w C:\Documents and Settings\Edouard\Application Data\Skype

2008-07-25 10:10 --------- d-----w C:\Documents and Settings\Edouard\Application Data\skypePM

2008-07-14 14:50 --------- d-----w C:\Program Files\a-squared Free

2008-07-09 21:38 --------- d-----w C:\Program Files\Exp2000

2008-07-01 09:23 --------- d-----w C:\Documents and Settings\All Users\Application Data\Long slow road itch

2008-06-30 06:37 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-03 09:45 --------- d-----w C:\Documents and Settings\Edouard\Application Data\Notepad++

2008-06-03 09:44 --------- d-----w C:\Program Files\Notepad++

2008-06-01 15:56 --------- d-----w C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-06-01 15:51 --------- d-----w C:\Program Files\MSN Messenger

2008-06-01 15:51 --------- d-----w C:\Program Files\Messenger Plus! Live

2008-06-01 15:46 --------- d-----w C:\Program Files\Windows Live

2008-02-18 12:39 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 15360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-15 10:31 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2004-03-09 19:27 1294446]

"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-01-07 13:02 49152]

"Acrobat Assistant 7.0"="C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-09-24 07:30 483328]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 15:43 7630848]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-11 15:43 86016]

"StatusClient 2.6"="C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 19:29 61440]

"TomcatStartup 2.5"="C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 18:40 188416]

"HPLJ Config"="C:\Program Files\Hewlett-Packard\hp LaserJet 1160_1320 series\SetConfig.exe" [2003-03-31 19:32 28672]

"RTHDCPL"="RTHDCPL.EXE" [2005-10-15 03:51 14864384 C:\WINDOWS\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2006-08-11 15:43 1519616 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=jajtfmsy.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program Files\\MSN Messenger\\livecall.exe"=

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

R2 RapidPortM4;RapidPortM4;C:\WINDOWS\system32\Drivers\CAPM4LP.SYS [2003-12-02 17:00]

R3 ACSSCR;ACR38 Smart Card Reader;C:\WINDOWS\system32\DRIVERS\a38usb.sys [2006-03-24 19:14]

S3 brfilt;Pilote de filtre Brother MFC;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 21:12]

S3 BrSerWDM;Pilote série WDM Brother;C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2003-03-14 02:04]

S3 BrUsbMdm;Brother MFC USB modem télécopieur uniquement;C:\WINDOWS\system32\Drivers\BrUsbMdm.sys [2001-08-17 21:12]

S3 BrUsbScn;Pilote de scanneur Brother MFC USB;C:\WINDOWS\system32\Drivers\BrUsbScn.sys [2001-08-17 21:12]

S3 cmeu0wdm;CardMan 2020;C:\WINDOWS\system32\DRIVERS\cmeu0wdm.sys [2002-09-13 10:28]

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2008-07-25 10:50:02 C:\WINDOWS\Tasks\Vérifier les mises à jour de Windows Live Toolbar.job"

 

J'ai ensuite lancé Malwarebytes : Résultats = Aucune infection

J'ai ensuite lancé Avast : Résultats = 4 infections

 

 

J'ai ensuite lancé HiJackThis dont voici le rapport :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:42, on 2008-07-25

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\CAPM4RSK.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE

C:\Program Files\InstantTimeZone\InstantTimeZone.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4SWK.EXE

C:\Program Files\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\Program Files\Scansoft\PaperPort\SmartUI\SmartUI.exe

C:\Program Files\InstantTimeZone\InstantTimeZone.exe

C:\Program Files\Java\jre1.6.0_05\bin\jucheck.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\MSN Messenger\usnsvc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe

C:\DOCUME~1\Edouard\LOCALS~1\Temp\Adobelm_Cleanup.0001

C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

C:\DOCUME~1\Edouard\LOCALS~1\Temp\Adobelm_Cleanup.0001

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.isaserver.be;*.isanet.be;info.BBL.be;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: (no name) - {AF371985-BC07-4A73-AF97-1EE573EAFD15} - C:\WINDOWS\system32\opnnmNEw.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O2 - BHO: (no name) - {DFF03FB7-D8BF-4304-BF4B-9EEB23C5557D} - C:\WINDOWS\system32\hgGaaBrS.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [statusClient 2.6] C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto

O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program Files\Hewlett-Packard\Toolbox\hpbpsttp.exe

O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet 1160_1320 series\SetConfig.exe -c Direct -p LPT1: -pn "" -n 1 -l 1036 -sl 120000

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Fenêtre d'état de Canon iR1510-1670.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPM4LAK.EXE

O4 - Global Startup: InstantTimeZone.lnk = C:\Program Files\InstantTimeZone\InstantTimeZone.exe

O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SmartUI.lnk = ?

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab

O16 - DPF: {1D46BE0D-C314-4E20-A291-D1E66265725A} (CryptoActiveX Control) - https://business.isabel.be/OfficeSignTestYo...yptoActiveX.ocx

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-BE/a-UNO1/GAME_UNO1.cab

O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - http://ccff02.minfin.fgov.be/CCFF_Authenti...ure/capicom.cab

O16 - DPF: {B5C31DCB-8469-4EB7-8355-EBBD63944C18} (UTCRegistration Control) - https://business.isabel.be/OfficeSignRegist...egistration.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = KESTELOOT.LOCAL

O17 - HKLM\Software\..\Telephony: DomainName = KESTELOOT.LOCAL

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = KESTELOOT.LOCAL

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = KESTELOOT.LOCAL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: khfghffD - khfghffD.dll (file missing)

O20 - Winlogon Notify: ljJCvwTK - ljJCvwTK.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

 

--

End of file - 11832 bytes

 

 

Merci d'avance

A +

Tedbel

[Falkra]

Bonjour,

 

n'utilisez jamais ComboFix ou Avenger sans qu'il soit prescrit par un membre qualifié et formé à ces outils. ComboFix n'est en aucun cas un outil de diagnostic, de scan, ou à tout faire. Chaque procédure de désinfection concerne une machine, et une seule.

 

Le tuto a conseillé combofix ?

 

Il y a des restes de plein de choses là dedans, partiellement désinfectées, il est plus difficile par la suite de nettoyer proprement.

[eclypse]

Salut

 

PC non à jour ... aucun pare feu present !!!

 

Reouvre hijackthis et coche

O2 - BHO: (no name) - {AF371985-BC07-4A73-AF97-1EE573EAFD15} - C:\WINDOWS\system32\opnnmNEw.dll (file missing)

O2 - BHO: (no name) - {DFF03FB7-D8BF-4304-BF4B-9EEB23C5557D} - C:\WINDOWS\system32\hgGaaBrS.dll (file missing)

O16 - DPF: {1D46BE0D-C314-4E20-A291-D1E66265725A} (CryptoActiveX Control) - https://business.isabel.be/OfficeSignTestYo...yptoActiveX.ocx

O16 - DPF: {B5C31DCB-8469-4EB7-8355-EBBD63944C18} (UTCRegistration Control) - https://business.isabel.be/OfficeSignRegist...egistration.cab

O20 - Winlogon Notify: khfghffD - khfghffD.dll (file missing)

O20 - Winlogon Notify: ljJCvwTK - ljJCvwTK.dll (file missing)

 

Clique sur fix checked

 

As tu les anciens logs des autres logiciels ? si oui il serait bon de les poster

 

@+

 

Clique sur fix checked

[Falkra]

Salut

 

PC non à jour ... aucun pare feu present !!!

 

Reouvre hijackthis et coche

 

 

Clique sur fix checked

 

As tu les anciens logs des autres logiciels ? si oui il serait bon de les poster

 

@+

 

Clique sur fix checked

 

 

Ca ne désinfecte rien, mais ça fait joli dans le rapport.

 

Il y a peut-être des restes de Lop là dedans, pas forcément détectés, il faut vérifier ça.

 

Le rapport combofix n'est pas tout à fait complet.

[Tedbel]

Salut

 

PC non à jour ... aucun pare feu present !!!

 

Reouvre hijackthis et coche

 

 

Clique sur fix checked

 

As tu les anciens logs des autres logiciels ? si oui il serait bon de les poster

 

@+

 

Clique sur fix checked

 

J'ai fait comme tu as dis mais cela n'a rien donné

 

Je te joins les log de Malwarebytes et je relance un scan:

 

 

Malwarebytes' Anti-Malware 1.23

Version de la base de données: 990

Windows 5.1.2600 Service Pack 2

 

16:43:40 2008-07-25

mbam-log-7-25-2008 (16-43-40).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 124891

Temps écoulé: 27 minute(s), 11 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

------------------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.23

Version de la base de données: 990

Windows 5.1.2600 Service Pack 2

 

12:22:11 25/07/2008

mbam-log-7-25-2008 (12-22-11).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 124735

Temps écoulé: 23 minute(s), 32 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

--------------------------------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.23

Version de la base de données: 990

Windows 5.1.2600 Service Pack 2

 

11:45:55 25/07/2008

mbam-log-7-25-2008 (11-45-55).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 124503

Temps écoulé: 27 minute(s), 3 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

A +

 

Merci pour l'aide, je suis perdu

[Falkra]

Ca ne sert à rien.

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
   
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
   
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
     
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
     

S'il s'agit d'une utilisation supplémentaire de DSS :

• tu n'auras pas de boîte de dialogue (pas de OK)
  
• quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
  

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

 

Ce que fait DSS :

• crée un point de restauration dans Windows XP et Vista
  
• nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
  
• vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
  

[Tedbel]

Ca ne désinfecte rien, mais ça fait joli dans le rapport.

 

Il y a peut-être des restes de Lop là dedans, pas forcément détectés, il faut vérifier ça.

 

Le rapport combofix n'est pas tout à fait complet.

 

J'ai vérifié, il n'y a rien de plus dans le fichier combofix.txt.

 

Dois-je relancer, le ComboFix ?

 

A +

[Tedbel]

Ca ne sert à rien.

 

Télécharge Deckard's System Scanner (DSS) (ou DSS) sur ton Bureau.

NB : Tu dois être connecté avec des droits d'Administrateur.

1. ferme toutes les applications et fenêtres
   
2. double-clique sur dss.exe pour le lancer et suis les instructions ci-dessous
   Attention, il est conseillé de stopper temporairement les logiciels résidents de protection (pare-feu, antivirus, etc.)
   
3. s'il s'agit d'une première utilisation ou d'une nouvelle version de DSS :
   • tu devras cliquer 2 fois sur le OK des boîtes de dialogue
     Attention, si tu tardes trop, la réponse Abandon sera automatiquement validée
     
   • quand le traitement est terminé (clique sur OK), deux fichiers texte s'affichent :
     main.txt <- ouvert en premier plan et en plein écran
     extra.txt <- ouvert en second plan et en fenêtré (regarde la barre des taches)
     

S'il s'agit d'une utilisation supplémentaire de DSS :

• tu n'auras pas de boîte de dialogue (pas de OK)
  
• quand le traitement est terminé, un fichier texte s'affiche :
  main.txt <- ouvert en premier plan et en plein écran
  

[*] copie (Ctrl+A puis Ctrl+C) et colle (Ctrl+V) le contenu de main.txt dans ton prochain post

[*] Copie de même le contenu de extra.txt dans ton prochain post, si tu as ce fichier (première utilisation)

[*] Si tu ne vois pas le rapport, tu le trouvera dans le dossier suivant > C:\Deckard\System Scanner

[*] n'oublie pas de réactiver les protections si elles ont été stoppées.

 

Ce que fait DSS :

• crée un point de restauration dans Windows XP et Vista
  
• nettoie les fichiers temporaires, DPF-Downloaded Program Files et le Cache Internet, vide la Corbeille de tous les lecteurs
  
• vérifie quelques zones importantes de ton système et établit un rapport pour examen par ton conseiller en sécurité. DSS lance automatiquement HijackThis pour toi; il va aussi créer un raccourci HijackThis sur ton Bureau si tu n'as pas déjà HijackThis d'installé.
  

 

OK je vais essayer

 

A +

 

Tedbel

[Falkra]

Salut,

 

Il ya beaucoups d'infections sur ton rapport

 

1°) Télécharge ceci

 

Lance le scan et poste le rapport

 

 

Eclypse, GenProc, c'est vraiment le tool à oublier, à part si on ne trouve pas d'infections et encore.

On peut aussi enchaîner 3 scans en ligne et OtMoveIt.

 

Là on piétine pour rien et on se court circuite, c'est la personne à aider qui en fait les frais, j'aurai prévenu.

[eclypse]

Je te laisse @+