Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[RESOLU] Rapport hijackthis bizarre !!!

bleuet

Par bleuet
dans Analyses et éradication malwares

 Partager

Messages recommandés

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Bonjour Falkra,

 

Je fais ça et je reviens...

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Voici le dernier rapport MBAM :

-------------------------------------------

Malwarebytes' Anti-Malware 1.24

Version de la base de données: 1047

Windows 5.1.2600 Service Pack 2

 

11:29:14 13/08/2008

mbam-log-8-13-2008 (11-29-14).txt

 

Type de recherche: Examen complet (C:\|D:\|H:\|I:\|)

Eléments examinés: 98227

Temps écoulé: 46 minute(s), 31 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

@+

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Re...

 

Et toujours le même problème de détournement de page avec WLM.... :P

 

Ca sent le soufre.... :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ok, on va éliminer quelques restes. Attention avec cet engin...

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul sans les connaissances adéquates : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  • Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Et voici le rapport ComboFix :

------------------------------------

ComboFix 08-08-12.01 - Annie 2008-08-13 12:25:46.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1106 [GMT 2:00]

Endroit: C:\Documents and Settings\Annie\Bureau\ComboFix.exe

* Création d'un nouveau point de restauration

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\system32\gvpvvdfi.ini

C:\WINDOWS\system32\iesioj.dll

C:\WINDOWS\system32\ipkmhxeo.dll

C:\WINDOWS\system32\lvapmgau.ini

C:\WINDOWS\system32\mrjxupna.dll

C:\WINDOWS\system32\sncqvq.dll

C:\WINDOWS\system32\twkqef.dll

C:\WINDOWS\system32\uiwivjbh.dll

C:\WINDOWS\system32\vgrmqqsv.dll

 

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-07-13 to 2008-08-13 ))))))))))))))))))))))))))))))))))))

.

 

2008-08-12 22:47 . 2008-08-12 22:47 <REP> d-------- C:\Deckard

2008-08-12 21:59 . 2008-08-12 22:07 250 --a------ C:\WINDOWS\gmer.ini

2008-08-12 21:33 . 2008-08-12 21:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Messenger Plus!

2008-08-12 20:34 . 2008-08-12 20:34 <REP> d-------- C:\Program Files\Messenger Plus! Live

2008-08-12 19:33 . 2008-08-12 19:35 <REP> d-------- C:\Program Files\Windows Live

2008-08-12 19:33 . 2008-08-12 19:33 <REP> d-------- C:\Documents and Settings\All Users\Application Data\WLInstaller

2008-08-12 15:40 . 2008-08-12 15:42 <REP> d-------- C:\Program Files\RCrawler

2008-08-12 15:39 . 2008-08-12 15:39 <REP> d-------- C:\Program Files\Registry Crawler

2008-08-12 15:38 . 2008-08-12 15:38 <REP> d-------- C:\Program Files\Registry Crawler 4.5.0.4

2008-08-11 13:16 . 2008-08-13 12:19 <REP> d-------- C:\Documents and Settings\Annie\Application Data\SiteAdvisor

2008-08-11 13:16 . 2008-08-11 13:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\SiteAdvisor

2008-08-11 13:16 . 2008-08-11 13:16 <REP> d-------- C:\Documents and Settings\All Users\Application Data\McAfee

2008-08-11 12:38 . 2008-08-11 12:38 <REP> d-------- C:\Program Files\DivX

2008-08-11 12:38 . 2008-07-23 18:50 129,784 --------- C:\WINDOWS\system32\pxafs.dll

2008-08-11 12:34 . 2008-08-11 12:34 <REP> d-------- C:\Program Files\DirectX 9.0

2008-08-09 19:24 . 2008-08-09 19:25 <REP> d--h----- C:\RETURNIL

2008-08-09 19:24 . 2008-08-09 19:24 38,272 --a------ C:\WINDOWS\system32\drivers\RVSYSTEM.sys

2008-08-09 19:24 . 2008-08-09 19:24 11,904 --a------ C:\WINDOWS\system32\drivers\RVSDISK.sys

2008-08-09 19:23 . 2008-08-09 19:24 <REP> d-------- C:\Program Files\RETURNIL 2008

2008-08-09 15:24 . 2008-08-09 15:24 <REP> d-------- C:\VundoFix Backups

2008-08-09 15:10 . 2008-08-09 18:34 <REP> d-------- C:\Lop SD

2008-08-09 13:24 . 2003-04-24 14:00 634,880 --a------ C:\WINDOWS\system32\getuname.dll

2008-07-29 18:32 . 2008-07-29 18:50 <REP> d-------- C:\WINDOWS\SxsCaPendDel

2008-07-29 17:50 . 2008-07-29 17:50 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Nero

2008-07-29 17:24 . 2008-08-11 12:42 <REP> d-------- C:\Program Files\Auslogics

2008-07-29 17:24 . 2008-07-29 17:24 <REP> d-------- C:\Documents and Settings\Annie\Application Data\Auslogics

2008-07-29 16:49 . 2008-07-29 16:49 <REP> d-------- C:\Program Files\RogueRemover FREE

2008-07-29 16:39 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-07-29 16:38 . 2008-08-09 13:54 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-07-29 16:38 . 2008-07-29 16:38 <REP> d-------- C:\Documents and Settings\Annie\Application Data\Malwarebytes

2008-07-29 16:38 . 2008-07-29 16:38 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-29 16:38 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-07-29 15:39 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-07-29 15:39 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2008-07-29 15:39 . 2008-04-10 21:00 86,528 --a------ C:\WINDOWS\system32\VACFix.exe

2008-07-29 15:39 . 2008-04-08 22:44 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-07-29 15:39 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-07-29 15:39 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-07-29 15:39 . 2008-07-29 15:57 3,990 --a------ C:\WINDOWS\system32\tmp.reg

2008-07-28 20:31 . 2008-07-28 20:31 <REP> d-------- C:\WINDOWS\Downloaded Installations

2008-07-28 20:31 . 2008-07-28 20:31 <REP> d-------- C:\Program Files\adobe photos

2008-07-28 20:31 . 2008-07-28 20:31 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Bags Plus Online Chin

2008-07-25 12:26 . 2008-08-09 15:44 <REP> d-------- C:\Documents and Settings\Annie\Application Data\1BLAHMANAGER

2008-07-25 10:36 . 2008-07-25 10:36 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe

2008-07-25 10:36 . 2008-07-25 10:36 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb

2008-07-24 13:36 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp

2008-07-23 18:50 . 2008-07-23 18:50 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll

2008-07-23 18:50 . 2008-07-23 18:50 9,878 --a------ C:\WINDOWS\system32\dsm_fr.qm

2008-07-23 18:48 . 2008-07-23 18:48 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll

2008-07-23 18:48 . 2008-07-23 18:48 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll

2008-07-23 18:47 . 2008-07-23 18:47 634,880 --a------ C:\WINDOWS\system32\divxdec.ax

2008-07-23 18:47 . 2008-07-23 18:47 352,401 --a------ C:\WINDOWS\system32\DivXMedia.ax

2008-07-23 18:47 . 2008-07-23 18:47 8,835 --a------ C:\WINDOWS\system32\dpufr.qm

2008-07-23 18:47 . 2008-07-23 18:47 3,067 --a------ C:\WINDOWS\system32\dtu_fr.qm

2008-07-23 18:47 . 2008-07-23 18:47 416 --a------ C:\WINDOWS\system32\dtu100.dll.manifest

2008-07-23 18:47 . 2008-07-23 18:47 416 --a------ C:\WINDOWS\system32\dpl100.dll.manifest

2008-07-23 18:46 . 2008-07-23 18:46 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll

2008-07-21 08:50 . 2008-07-21 08:50 244 --ah----- C:\sqmnoopt12.sqm

2008-07-21 08:50 . 2008-07-21 08:50 232 --ah----- C:\sqmdata13.sqm

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-12 13:00 --------- d-----w C:\Program Files\SpywareBlaster

2008-08-11 09:19 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2008-08-11 09:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-08-11 07:38 --------- d-----w C:\Program Files\Fichiers communs\Logitech

2008-08-09 19:59 --------- d-----w C:\Program Files\MioNet

2008-08-09 16:42 --------- d-----w C:\Documents and Settings\Annie\Application Data\Creative

2008-08-09 09:42 --------- d-----w C:\Program Files\SyncBack

2008-08-08 08:06 1,418 ----a-w C:\Documents and Settings\Annie\Application Data\wklnhst.dat

2008-07-29 16:34 --------- d-----w C:\Program Files\Fichiers communs\Adobe

2008-07-29 15:53 --------- d-----w C:\Program Files\Fichiers communs\Ahead

2008-07-28 18:33 --------- d-----w C:\Documents and Settings\All Users\Application Data\Downloaded Installations

2008-07-28 18:30 --------- d-----w C:\Program Files\TuneUp Utilities 2008

2008-07-28 18:25 --------- d-----w C:\Documents and Settings\Annie\Application Data\dvdcss

2008-07-28 13:26 --------- d-----w C:\Documents and Settings\All Users\Application Data\Installations

2008-07-28 10:45 --------- d-----w C:\Program Files\Free Audio Pack

2008-07-23 16:50 43,528 ------w C:\WINDOWS\system32\drivers\pxhelp20.sys

2008-07-23 16:50 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-07-23 16:50 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-07-12 17:08 354,560 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe

2008-07-12 17:08 --------- d-----w C:\Documents and Settings\Annie\Application Data\TuneUp Software

2008-07-12 17:07 --------- d-----w C:\Documents and Settings\All Users\Application Data\TuneUp Software

2008-07-12 17:06 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2008-07-06 10:30 --------- d-----w C:\Program Files\Fichiers communs\Java(2)

2008-07-06 10:30 --------- d-----w C:\Program Files\Fichiers communs\Java

2008-07-06 08:54 --------- d-----w C:\Documents and Settings\Annie\Application Data\MSN6

2008-07-05 10:21 --------- d-----w C:\Program Files\Java

2008-06-30 16:36 --------- d-----w C:\Program Files\WinRoll

2008-06-30 16:36 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-06-30 16:36 --------- d-----w C:\Program Files\Microsoft Works

2008-06-30 16:36 --------- d-----w C:\Program Files\CamStudio

2008-06-20 17:37 247,808 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-18 17:18 --------- d-----w C:\Documents and Settings\Annie\Application Data\LimeWire

2008-06-18 14:39 --------- d-----w C:\Documents and Settings\Annie\Application Data\Ahead

2008-06-18 12:05 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-06-18 12:05 --------- d-----w C:\Program Files\Creative

2008-06-14 17:59 272,768 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-01 19:58 290,816 ------w C:\WINDOWS\Setup1.exe

.

 

------- Sigcheck -------

 

2005-03-02 20:20 578048 c34920eb988ce98910bd6b0417f334eb C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll

2007-03-08 17:50 579072 4d88aaf39adabfe45958ea1384e2c4ff C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll

2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\$NtUninstallKB890859$\user32.dll

2005-03-02 20:10 578048 0df75fb73f705b011630159a43d7c354 C:\WINDOWS\$NtUninstallKB925902$\user32.dll

2004-08-19 17:09 578048 61c8c283ad063bb697ae61a155c64a5a C:\WINDOWS\ServicePackFiles\i386\user32.dll

2008-04-14 04:33 579584 e853f84d3ce2faa2a802e33cf89ac023 C:\WINDOWS\SoftwareDistribution\Download\cb753d18e2092b6b6a89289134569652\user32.dll

2005-03-02 20:21 562176 6eef91ad23c3474c934174d11c6da321 C:\WINDOWS\SoftwareDistribution\Download\cbdc1787b6b277961f5fc0d18aa5c3d2\sp1qfe\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\user32.dll

2007-03-08 17:37 578560 753354f594809a9b96f73999b435a533 C:\WINDOWS\system32\dllcache\user32.dll

 

2005-03-02 20:13 2059008 5311776074b6c13f983dc75baeac9c0c C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe

2007-02-28 18:08 2061440 7a56a64eb50399613587e90292dd2aab C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe

2004-08-19 17:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe

2005-03-02 20:07 2058880 73fa9c95d235844a36968c7852c7dbdd C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe

2004-08-19 17:04 2058880 f252fae094c54572ece38a039f2103c4 C:\WINDOWS\ServicePackFiles\i386\ntkrnlpa.exe

2008-04-14 04:07 2067968 b71a8f101cefaf82fc5ec16130a54a3f C:\WINDOWS\SoftwareDistribution\Download\cb753d18e2092b6b6a89289134569652\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\ntkrnlpa.exe

2007-02-28 18:02 2059648 a1d5231403329478ae4fe2778c55c77f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

 

2005-03-02 20:13 2181632 3e2a0a4a0c0b19fc113618a9562a3b2a C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe

2007-02-28 18:08 2184192 8e244108562e0e452eb68dff64cb08a9 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe

2004-08-19 17:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe

2005-03-02 20:08 2181376 63729dd0f2aae36cc52b89c05505146c C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe

2004-08-19 17:04 2183040 7d38ce4398e6aa6339b4644feadcc0d8 C:\WINDOWS\ServicePackFiles\i386\ntoskrnl.exe

2008-04-14 04:08 2191104 099d639da1ef6968d4e41795bb507e6b C:\WINDOWS\SoftwareDistribution\Download\cb753d18e2092b6b6a89289134569652\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\ntoskrnl.exe

2007-02-28 18:02 2182400 7d6d19aac51a4325f6039f083c22303c C:\WINDOWS\system32\dllcache\ntoskrnl.exe

 

2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\explorer.exe

2007-06-13 15:10 1037312 b795475444d6d57a572c14b9e1a29839 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe

2004-08-19 17:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe

2004-08-19 17:09 1036288 2a7bd330924252a2fd80344fc949bb72 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2008-04-14 04:34 1037824 f2317622d29f9ff0f88aeecd5f60f0dd C:\WINDOWS\SoftwareDistribution\Download\cb753d18e2092b6b6a89289134569652\explorer.exe

2007-06-13 15:22 1037312 d0288319660edcfed07c7e74c4ea38a5 C:\WINDOWS\system32\dllcache\explorer.exe

 

2005-06-11 02:17 57856 ad3d9d191aea7b5445fe1d82ffbb4788 C:\WINDOWS\$hf_mig$\KB896423\SP2QFE\spoolsv.exe

2004-08-19 17:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\$NtUninstallKB896423$\spoolsv.exe

2004-08-19 17:10 57856 df9fc62ad51cb082b0ae371919a232cb C:\WINDOWS\ServicePackFiles\i386\spoolsv.exe

2008-04-14 04:34 57856 460e4ce148bd07218da0b6a3d31885a9 C:\WINDOWS\SoftwareDistribution\Download\cb753d18e2092b6b6a89289134569652\spoolsv.exe

2005-06-11 01:53 57856 da81ec57acd4cdc3d4c51cf3d409af9f C:\WINDOWS\system32\spoolsv.exe

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinRoll"="C:\Program Files\WinRoll\winroll.exe" [2004-04-06 18:00 15360]

"CursorXP"="C:\Program Files\CursorXP\CursorXP.exe" [2005-01-19 17:34 128000]

"Creative MediaSource Go"="C:\Program Files\Creative\MediaSource\GO\CTCMSGo.exe" [2003-02-20 10:30 126976]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 13:49 153136]

"STYLEXP"="C:\Program Files\TGTSoft\StyleXP\StyleXP.exe" [2005-01-18 03:05 1159168]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 17:09 15360]

"msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 08:44 266497]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]

"phc710"="C:\WINDOWS\vphc700.exe" [2005-07-20 20:56 339968]

"Rvsystem"="C:\PROGRA~1\RETURN~1\Returnil\Returnil.exe" [2008-08-09 19:24 2071040]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 17:09 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="C:\\Program Files\\TGTSoft\\StyleXP\\CurrentLogon.EXE"

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Démarrage rapide du logiciel HP Image Zone.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Démarrage rapide du logiciel HP Image Zone.lnk

backup=C:\WINDOWS\pss\Démarrage rapide du logiciel HP Image Zone.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^TrayMin710.exe.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\TrayMin710.exe.lnk

backup=C:\WINDOWS\pss\TrayMin710.exe.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Annie^Menu Démarrer^Programmes^Démarrage^MSN Pictures Displayer.lnk]

path=C:\Documents and Settings\Annie\Menu Démarrer\Programmes\Démarrage\MSN Pictures Displayer.lnk

backup=C:\WINDOWS\pss\MSN Pictures Displayer.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2007-03-12 13:49 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2004-05-12 16:18 241664 C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-02-12 14:38 49152 C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mmtask]

--a------ 2006-01-17 14:12 53248 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mmtask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMTray]

--a------ 2006-01-17 14:12 135168 C:\Program Files\MUSICMATCH\Musicmatch Jukebox\mm_tray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2007-03-09 18:53 153136 C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Online chin internet bolt]

--a------ 2008-08-07 16:05 3869696 C:\Documents and Settings\All Users\Application Data\Bags Plus Online Chin\error dog.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]

--a------ 2005-01-18 03:05 1159168 C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program Files\\Tarot Club\\bin\\TarotClub.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1700:TCP"= 1700:TCP:MioNet Remote Drive Access

"1641:TCP"= 1641:TCP:MioNet Remote Drive Verification

"4662:TCP"= 4662:TCP:emule

"4672:UDP"= 4672:UDP:emule

 

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2008-04-16 15:37]

R0 RVSDISK;RVSDISK;C:\WINDOWS\system32\Drivers\RVSDISK.sys [2008-08-09 19:24]

R0 RVSYSTEM;RVSYSTEM;C:\WINDOWS\system32\Drivers\RVSYSTEM.sys [2008-08-09 19:24]

R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-19 08:44]

R2 MioNet;MioNet Service;C:\Program Files\MioNet\MioNetManager.exe [2005-07-15 22:38]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-19 17:10]

S3 phc700;USB PC Camera (phc710);C:\WINDOWS\system32\DRIVERS\phc700.sys [2005-06-07 15:21]

S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-12 19:08]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

 

2008-05-13 C:\WINDOWS\Tasks\HP DArC Task #Hewlett-Packard#hp psc 1310 series#1200224971.job

- C:\Program Files\HP\hpcoretech\comp\hpdarc.exe [2004-05-12 16:18]

 

2008-08-13 C:\WINDOWS\Tasks\Maintenance en 1 clic.job

- C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-22 14:17]

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-Run-Cmaudio - cmicnfg.cpl

Notify-dimsntfy - (no file)

MSConfigStartUp-IncrediMail - C:\PROGRA~1\INCRED~1\bin\IncrediMail.exe

 

 

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Annie\Application Data\Mozilla\Firefox\Profiles\7alf8pfi.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-sunm&p=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/

FF -: plugin - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-13 12:29:57

Windows 5.1.2600 Service Pack 2 NTFS

 

Balayage processus cach‚s ...

 

Balayage cach‚ autostart entries ...

 

Balayage des fichiers cach‚s ...

 

Scan termin‚ avec succŠs

Les fichiers cach‚s: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\Program Files\MioNet\jvm\bin\MioNet.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

C:\Program Files\MRU-Blaster\scheduler.exe

.

**************************************************************************

.

Temps d'accomplissement: 2008-08-13 12:36:56 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-13 10:36:52

 

Pre-Run: 24,314,740,736 octets libres

Post-Run: 24,224,219,136 octets libres

 

292 --- E O F --- 2008-08-12 14:51:51

 

------------------------------------------------------------------------------------------/

Du nettoyage de fait !! ?

 

J'ai vu Emule en HKLM, pourtant je ne l'ai pas trouvé dans les programmes ! :P

et Incrédimail : Je l'ai supprimé !

 

 

 

@+

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ca devrait suffire. Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore.

C:\QooBox

 

 

Est-ce qu'IncrediMail est installé sur la machine ? C'est un programme qui espionne ouvertement les utilisateurs...

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Re....

 

Je supprimerai ComboFix.

 

Incrédimail était sur la machine.

Je l'ai supprimé. Je mettrai Thunderbird. Ca ne plaira pas. Et ben ils mettront - à leurs risques- IMail...

Mais j'ai toujours le même souci sur WLM de détournement de page IE7 à Plus ! > pages de pubs diverses : jeux de cartes, casino, achats voitures, voyages.

Si on ne touche pas à cette option, tout est correct. Bien bizarre. Appolo1 m'a indiqué un log. pour faire sauter WLM et repartir sur 1 installation "vierge".

Lui, ça a marché. Moi, que dal, je me retrouve avec la même configuration, sauf Plus ! qui a bien sauté. Peut être essayer en mode sans échec.....

ET là, je ne peux pas aller plus loin, il y a 1 message de msn concernant des réparations en cours.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

On peut convertir les mails vers thunderbird, (je ne sais pas si sa désinstallation les vire aussi).

 

On regarde, ça semble un client puor navilog. Désinstalle l'ancienne version via ajout/suppr de programmes avant de mettre la nouvelle (il y a eu des mises à jour). Pourtant combofix les vire.

 

  • Clique sur ce lien de navilog1 de IL-MAFIOSO :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  • Enregistre le fichier sur ton bureau.
  • Ensuite double clique sur navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, le fix s'exécutera automatiquement.
    (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
  • Laisse-toi guider. Au menu principal, choisis 1 et valide.
    (ne fais pas le choix 2,3 ou 4 sans accord)
  • Cela dure un moment, attends le message :
    *** Analyse Termine le ..... ***
  • Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  • Copie-colle l'intégralité du rapport dans ton prochain post. Referme le bloc note.

 

Note :

Le rapport est aussi sauvegardé à la racine du disque (fixnavi.txt)

Si ton antivirus se plaint de fichiers de Navilog1, dis lui d'ignorer les fichiers.

bleuet Godlike Member

bleuet

Posté(e)
  • Auteur
Posté(e)

Salut Falkra,

 

Bugs incessants de WLM. J'ai finalement perdu patience devant ces sacs de nœuds et formaté.

Tout était OK sauf de ce côté. Vraiment dommage.

Je ne comprends pas (où plutôt si !) que ce PC ait des problèmes à gogo de la sorte et c'est la nième fois.

De très mauvaises habitudes, des logs. installés à fuir, du style Incrédimail..et autres "gliglis".

J'avais jamais vu MBAM détecter 38 vundo, 3 trojan BHO, 2 trojan Agent, 2 malware Trace.

Il paraît que ce serait un clic "malencontreux" sur une fenêtre sur une page web qui ait provoqué ce désastre.

Je croirais plutôt qu'il y a eu accumulation d'infections sur le temps.

Ceci dit, je tiens à te remercier pour tes efforts assidus et conseils. :P Quelques heures qui m'ont bien appris.

 

@+ sur le forum :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Arf, on a bossé pour rien, tous les deux.

Pas de crack après l'installation ? Page douteuse, toujours possible... :P

tu sais quoi faire pour ces deux cas de figure.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...