aidez moi svp des virus infecte mon ordi et mon écran s'éteint tou

[amlan]

bonjour à tous!

aidez moi svp

j'ai kapersky internet security comme antivirus mais j'ai l'impression que depuis un moment c'est l'anarchie sur mon pc.

kapersky détecte des virus qu'il ne réussi pas à supprimer.

j'ai un vista antivirus 2008 qui apparait tout le tps.

dernièrement j'ai eu un genre de message similaire mais pas vav2008.

je ne comprends pas aidez moi svp

voici mon rapport hijackthis:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:21:38, on 13/09/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Elaborate Bytes\DVD Region Killer\RegKillTray.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\SweetIM\Messenger\SweetIM.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Free Download Manager\fum\fum.exe

C:\Program Files\Vista Start Menu\VistaStartMenu.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

C:\WINDOWS\system32\mpxa.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe

O4 - HKLM\..\Run: [RegKillTray] "C:\Program Files\Elaborate Bytes\DVD Region Killer\RegKillTray.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Free Upload Manager] "C:\Program Files\Free Download Manager\fum\fum.exe" -autorun

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] ~"C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [VistaStartMenu] "C:\Program Files\Vista Start Menu\VistaStartMenu.exe"

O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AdobeUpdater] C:\Program Files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZU

O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm

O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows...ggPublisher.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{5DC1FCD8-135D-4A0B-BC7B-64F870E2158D}: NameServer = 213.136.96.2 213.136.96.37

O17 - HKLM\System\CS1\Services\Tcpip\..\{5DC1FCD8-135D-4A0B-BC7B-64F870E2158D}: NameServer = 213.136.96.2 213.136.96.37

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

 

--

End of file - 8299 bytes

 

 

second soucis

j'ai mon écran qui devient tout noir parfois et il suffit de le remuer un peu pour que les images reviennent. qu'est ce qui se passe

 

aidez moi!!!!!!!

[Gof]

Bonjour amlan

 

Exécute ce qui suit je te prie.

 

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau.

• Lance l'installation du programme en exécutant le fichier téléchargé.
  
• Double-clique maintenant sur le raccourci de Toolbar-S&D.
  
• Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  
• Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  
• Poste le rapport généré. (C:\TB.txt)
  

 

Télécharge SmitfraudFix de S!ri sur ton bureau.

• Double-clique sur smitfraudfix.exe
  
• Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.
  
• Poste le rapport sur le forum dans ta prochaine réponse.
  Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
  

 

A bientôt.

[amlan]

bonjour Gof!

 

voici le rapport toolbar

 

-----------\\ ToolBar S&D 1.1.9 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 2.80GHz )

BIOS : Default System BIOS

USER : AKWABA ( Administrator )

BOOT : Normal boot

Antivirus : Kaspersky Internet Security 7.0.1.321 (Not Activated)

Firewall : Kaspersky Internet Security 7.0.1.321 (Activated)

 

"C:\ToolBar SD" ( MAJ : 13-09-2008|02:54 )

Option : [1] ( 14/09/2008| 9:27 )

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

C:\Program Files\Dealio

C:\Program Files\Dealio\kb125

C:\Program Files\FunWebProducts

C:\Program Files\FunWebProducts\ScreenSaver

C:\Program Files\FunWebProducts\Shared

C:\Program Files\MyWebSearch

C:\Program Files\MyWebSearch\bar

C:\Program Files\MyWebSearch\SrchAstt

C:\DOCUME~1\AKWABA\Cookies\akwaba@mywebsearch[2].txt

C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll

C:\DOCUME~1\AKWABA\APPLIC~1\Search Settings

C:\DOCUME~1\AKWABA\APPLIC~1\Search Settings\kb125

C:\DOCUME~1\INVIT~1\APPLIC~1\Search Settings

C:\DOCUME~1\INVIT~1\APPLIC~1\Search Settings\kb125

C:\Program Files\Search Settings

C:\Program Files\Search Settings\kb125

C:\Program Files\Search Settings\SearchSettings.exe

C:\DOCUME~1\AKWABA\LOCALS~1\Temp\nsv40.tmp

 

-----------\\ Extensions

 

(AKWABA) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

(AKWABA) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Search Bar"="http://www.google.com/ie"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://home.sweetim.com"

"Search Page"="http://www.google.com"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

 

 

--------------------\\ Recherche d'autres infections

 

C:\WINDOWS\system32\suxGNqru.ini

C:\WINDOWS\system32\suxGNqru.ini2

==> VUNDO <==

 

--------------------\\ Cracks & Keygens ..

 

C:\DOCUME~1\AKWABA\Bureau\Crack

C:\DOCUME~1\AKWABA\Bureau\Crack\fruityloops.studio.producer.edition.xxl.v8.0.0-NoPE.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen

C:\DOCUME~1\AKWABA\Mes documents\ANY\boson6b2\Keygen.exe

C:\DOCUME~1\AKWABA\Mes documents\ANY\boson6b3\KeyGen.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Idman5.12Build10.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen\install.txt

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen\keygen.exe

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 14/09/2008| 9:33 - Option : [1]

 

-----------\\ Fin du rapport a 9:33:22,26

 

je t'envoie lerete tout à l'heure merci et à bientôt!

[amlan]

Bonjour Gof!

 

merci encore pour ton aide

voici le rapport après exécution de smitfraud fix.exe

 

SmitFraudFix v2.349

 

Rapport fait à 11:59:31,82, 14/09/2008

Executé à partir de C:\Documents and Settings\AKWABA\Bureau\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode normal

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\VTtrayp.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Elaborate Bytes\DVD Region Killer\RegKillTray.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Search Settings\SearchSettings.exe

C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\SweetIM\Messenger\SweetIM.exe

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE

C:\Program Files\Adobe\Photoshop Album Edition Découverte\3.0\Apps\apdproxy.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Ares\Ares.exe

C:\Program Files\Free Download Manager\fum\fum.exe

C:\Program Files\Vista Start Menu\VistaStartMenu.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\mpxa.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\AKWABA

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\AKWABA\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\AKWABA\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

AntiXPVSTFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_Dlls"="C:\\PROGRA~1\\KASPER~1\\KASPER~2.0\\adialhk.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: WAN (PPP/SLIP) Interface

DNS Server Search Order: 213.136.96.2

DNS Server Search Order: 213.136.96.37

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5DC1FCD8-135D-4A0B-BC7B-64F870E2158D}: NameServer=213.136.96.2 213.136.96.37

HKLM\SYSTEM\CS1\Services\Tcpip\..\{5DC1FCD8-135D-4A0B-BC7B-64F870E2158D}: NameServer=213.136.96.2 213.136.96.37

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

 

 

merci et à bientôt

[Gof]

Re amlan

 

Relance Toolbar-S&D en double-cliquant sur le raccourci. Tape sur "2" puis valide en appuyant sur "Entrée".

• ! Ne ferme pas la fenêtre lors de la suppression !
  Un rapport sera généré, poste son contenu ici.
  NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
  Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
  Tape explorer puis valide.
  

 

 

Télécharge OTMoveIt2 par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil.
  
• Copie-colle la ligne de la zone "Code" ci-dessous dans dans la zone "Paste List of Files/Folders to Move"
  

  c:\WINDOWS\system32\mpt.exe
  C:\WINDOWS\system32\mpxa.exe

  
  

• Cliquer sur le bouton rouge Moveit!.
  
• Copie-colle tout ce qui se trouve dans la zone Results en réponse sur le forum.
  
• Fermer OTMoveIt2
  

• Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine est demandé, choisir Oui/Yes. Dans ce cas, après le redémarrage, ouvrir le Bloc-notes (Démarrer->Tous les programmes->Accessoires->Bloc-notes), cliquer sur Fichier->Ouvrir, dans la zone "Nom du fichier" taper *.log et appuyer sur la touche Entrée, naviguer jusqu'au dossier C:\_OTMoveIt\MovedFiles, puis ouvrir le fichier .log le plus récent; ensuite faire un copier/coller du contenu de ce document en réponse sur le forum.
  

 

 

Relance un scan HijackThis

• Clique sur Do a system scan only et coche les lignes ci-dessous :
  

• O4 - HKLM\..\Run: [searchSettings] C:\Program Files\Search Settings\SearchSettings.exe
  O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
  O4 - HKCU\..\Run: [mpt] c:\WINDOWS\system32\mpt.exe
  O8 - Extra context menu item: &Search -

http://edits.mywebsearch.com/toolbaredits/...arch.jhtml?p=ZU

• Ferme toutes les fenêtres sauf HijackThis et Fix Checked.
  

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

Avec tous les rapports, profites en pour donner des nouvelles du PC. A bientôt.

[amlan]

salut! Gof

mille excuses

des soucis m'ont éloigné de mon ordi

désolé de n'avoir pu donné de suite à ton dernier message.

 

j'espère que tu consent encore à venir à mon aide.

tous les problèmes que j'avais énumérer dans mon premier message demeure tj. les virus que kaspaerske me signalent mais kil ne peut supprimer. mon écran s'éteint très svt. des scans non initiés par moi sont lancés dès que je me connecte et sans mon accord...

 

je te poste d'abord le rapport toolbar que voici:

 

-----------\\ ToolBar S&D 1.1.9 XP/Vista

 

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 2.80GHz )

BIOS : Default System BIOS

USER : AKWABA ( Administrator )

BOOT : Normal boot

Antivirus : Kaspersky Internet Security 7.0.1.321 (Not Activated)

Firewall : Kaspersky Internet Security 7.0.1.321 (Activated)

 

"C:\ToolBar SD" ( MAJ : 13-09-2008|02:54 )

Option : [2] ( 22/09/2008|10:36 )

 

-----------\\ SUPPRESSION

 

Supprime! - C:\Program Files\Dealio\kb125

Supprime! - C:\Program Files\FunWebProducts\ScreenSaver

Supprime! - C:\Program Files\FunWebProducts\Shared

Supprime! - C:\Program Files\MyWebSearch\bar

Supprime! - C:\Program Files\MyWebSearch\SrchAstt

Supprime! - C:\DOCUME~1\AKWABA\Cookies\akwaba@mywebsearch[2].txt

Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com

Supprime! - C:\DOCUME~1\AKWABA\APPLIC~1\Search Settings\kb125

Supprime! - C:\DOCUME~1\INVIT~1\APPLIC~1\Search Settings\kb125

Supprime! - C:\Program Files\Search Settings\kb125

Supprime! - C:\Program Files\Search Settings\SearchSettings.exe

Supprime! - C:\DOCUME~1\AKWABA\LOCALS~1\Temp\nsv40.tmp

Supprime! - C:\Program Files\Dealio

Supprime! - C:\Program Files\FunWebProducts

Supprime! - C:\Program Files\MyWebSearch

Supprime! - C:\DOCUME~1\AKWABA\APPLIC~1\Search Settings

Supprime! - C:\DOCUME~1\INVIT~1\APPLIC~1\Search Settings

Supprime! - C:\Program Files\Search Settings

 

-----------\\ Recherche de Fichiers / Dossiers ...

 

 

-----------\\ Extensions

 

(AKWABA) - {635abd67-4fe9-1b23-4f01-e679fa7484c1} => ytoolbar

(AKWABA) - {991A772A-BA13-4c1d-A9EF-F897F31DEC7D} => megaupload

 

 

-----------\\ [..\Internet Explorer\Main]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Search Bar"="http://www.google.com/ie"

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://home.sweetim.com"

"Search Page"="http://www.google.com"

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"

"Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"'>http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

"Start Page"="http://www.msn.com/"

 

 

--------------------\\ Recherche d'autres infections

 

C:\WINDOWS\system32\suxGNqru.ini

C:\WINDOWS\system32\suxGNqru.ini2

==> VUNDO <==

 

--------------------\\ Cracks & Keygens ..

 

C:\DOCUME~1\AKWABA\Bureau\Crack

C:\DOCUME~1\AKWABA\Bureau\Crack\fruityloops.studio.producer.edition.xxl.v8.0.0-NoPE.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen

C:\DOCUME~1\AKWABA\Mes documents\ANY\boson6b2\Keygen.exe

C:\DOCUME~1\AKWABA\Mes documents\ANY\boson6b3\KeyGen.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Idman5.12Build10.exe

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen\install.txt

C:\DOCUME~1\AKWABA\Mes documents\Internet.Download.Manager.v5.12.Build.10.with.Keygen\Keygen\keygen.exe

 

 

 

1 - "C:\ToolBar SD\TB_1.txt" - 14/09/2008| 9:33 - Option : [1]

2 - "C:\ToolBar SD\TB_2.txt" - 22/09/2008|10:48 - Option : [2]

 

-----------\\ Fin du rapport a 10:48:03,07

[amlan]

salut!

 

les résultats apres OT move it 2

 

c:\WINDOWS\system32\mpt.exe moved successfully.

C:\WINDOWS\system32\mpxa.exe moved successfully.

 

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 09222008_110142

[amlan]

salut Gof!

voici le dernier rapport

le rapport malwarebytes:

 

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1134

Windows 5.1.2600 Service Pack 2

 

22/09/2008 12:10:07

mbam-log-2008-09-22 (12-10-07).txt

 

Type de recherche: Examen rapide

Eléments examinés: 67662

Temps écoulé: 20 minute(s), 46 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 3

Clé(s) du Registre infectée(s): 40

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 4

Dossier(s) infecté(s): 13

Fichier(s) infecté(s): 183

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

C:\WINDOWS\system32\itauuxeb.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\urqNGxus.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\ddccdDvW.dll (Trojan.Vundo) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2a65be74-ec8d-401e-93df-5bda3dc05505} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ddccddvw (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{2a65be74-ec8d-401e-93df-5bda3dc05505} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{eb3a7e54-a981-4e80-8eb5-70ea61f6a9d6} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{eb3a7e54-a981-4e80-8eb5-70ea61f6a9d6} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\videoegg.activexloader (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{168dc258-1455-4e61-8590-9dac2f27b675} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{1a8642f1-dc80-4edc-a39d-0fb62a58b455} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{3f91eb90-ef62-44ee-a685-fac29af111cd} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{5c29c7e4-5321-4cad-be2e-877666bed5df} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{83dfb6ee-ab18-41b5-86d4-b544a141d67e} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{88d6cf0e-cf70-4c24-bf6e-e4e414bc649c} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{8f6a82a2-d7b1-443e-bb9f-f7dc887dd618} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{9856e2d8-ffb2-4fe5-8cad-d5ad6a35a804} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{a3d06987-c35e-49e4-8fe2-ac67b9fbfb4c} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{a58c497b-3ee2-45e7-9594-daca6be2a0d0} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{ad0a3058-fd49-4f98-a514-fd055201835e} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{ad5915ea-b61a-4dba-b5c8-ef4b2df0a3c7} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{af2e62b6-f9e1-4d4f-a10a-9dc8e6dcbcc0} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{af2e62b6-f9e1-4d4f-a10a-9dc8e6dcbcc0} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{bb187c0d-6f53-4f3e-9590-98fd3a7364a2} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{c5041fd9-4819-4dc4-b20e-c950b5b03d2a} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{d17726cc-d4dd-4c4a-9671-471d56e413b5} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{db8cce99-59c6-4552-8bfc-058feb38d6ce} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{dc3a04ee-cdd7-4407-915c-a5502f97eecd} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{e1a63484-a022-4d42-830a-fbd411514440} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{e282c728-189d-419e-8ee2-1601f4b39ba5} (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\videoegg.activexloader.1 (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\videoegg (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\VideoEgg (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\MozillaPlugins\@videoegg.com/publisher,version=1.5 (Adware.VideoEgg) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f010d37e (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{2a65be74-ec8d-401e-93df-5bda3dc05505} (Trojan.Vundo) -> Delete on reboot.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\urqngxus -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\urqngxus

 

 

merci

stp j'attends ta réponse.

à bientôt

[Gof]

Bonjour amlan

 

Je n'ai pas saisi si les symptômes persistaient avant que tu ne commences la manipulation de mon dernier post, ou après que tu l'ais effectuée.

 

Génère un nouveau rapport HijackThis que l'on fasse le point suite à tes manipulations.