[résolu] rapport HijackThis infection

[jacquelien]

Merci de m'aider ...

pour éradiquer les malwares qui m'importunent continuellement ...

 

voici mon rapport hijackthis

je l'envoie après avoir suivi la procédure prescrite

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:41:59, on 28/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20861)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

 

--

End of file - 5960 bytes

 

merci de votre aide

Modifié le 30 septembre 2008 par jacquelien

[Gof]

Bonsoir jacquelien

 

Messages: 1

Bienvenue sur les forums de Zebulon.

 

Quelques liens pour t'aider à commencer :

• Comment participer à un forum
  
• retrouver ses messages et activer la notification par email
  

 

On va voir ensemble ce qui se passe sur ton PC ; comme tous les intervenants ici, nous aidons bénévolement en fonction de nos activités personnelles. On va essayer d'aller au plus vite, mais il faudra peut-être parfois être patient pour attendre une réponse, pas d'affolement

 

-----------------------

 

Peux tu décrire un peu ce qui se passe sur ta machine, les symptômes rencontrés, ce que tu as déjà réalisé précisément ?

[jacquelien]

>Peux tu décrire un peu ce qui se passe sur ta machine, les symptômes rencontrés, ce que tu as déjà réalisé précisément ?

 

bonjour

 

symptomes : ralentissement du pc

antivir a trouvé des trojans qui ont été supprimés

j'ai suivi la procédure conseillée antivir configuré lancé en mode sans échec

 

j'avais aussi des sites web que je ne pouvais plus atteindre

j'ai restauré le fichier host

j'ai retrouvé mes sites web

 

suis-je maintenant clean ?

 

cela avait commencé par une infection par xp antivirus 2008 suite à un téléchargement malheureux

puis des trojans en pagaille...

j'ai essayé de me débrouiller toute seule pour les virer

sans succés donc je fais appel à vous

 

merci de votre aide

jacqueline

[Gof]

Bonjour jacquelien

 

D'accord pour les symptômes et mesures effectuées. Exécute les manipulations suivantes je te prie.

 

Il faudra pour commencer que tu me postes le rapport Antivir. Tu peux lire tous les anciens rapports, pour cela : ouvre Antivir (double-clique sur son icône près de l'horloge), clique sur "Overview" dans la colonne de gauche, puis sur "Reports" et trouve la ligne qui correspond à ton rapport elle doit s'appeler Scan, puis double clique desuss : là tu auras un bouton "Report file" pour lire et/ou poster le rapport.

 

 

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

 

 

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

 

A bientôt.

[jacquelien]

BOnsoir Gof

merci de t'occuper de moi

 

j'ai comme préconisé désinstallé antivir donc les log ont du être détruits ?

je peux le réinstaller et refaire le scan ce soir

j'avais sauvegardé le scan d'hier soir mais c'est un log complet

je ne peux pas le copier ici dans sa totalité

j'ai essayé d'en extraire des choses qui me paraissaient importantes que je place ici après

 

 

Configuration settings for the scan:

Jobname..........................: Local Drives

Configuration file...............: c:\program files\avira\antivir personaledition classic\alldrives.avp

Logging..........................: high

Primary action...................: interactive

Secondary action.................: ignore

Scan master boot sector..........: on

Scan boot sector.................: on

Boot sectors.....................: C:, A:, D:, E:,

Process scan.....................: on

Scan registry....................: on

Search for rootkits..............: on

Scan all files...................: All files

Scan archives....................: on

Recursion depth..................: 20

Smart extensions.................: on

Deviating archive types..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,

Macro heuristic..................: on

File heuristic...................: high

Deviating risk categories........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Expanded search settings.........: 0x00007000

 

Start of the scan: dimanche 28 septembre 2008 22:11

 

Starting search for hidden objects.

The driver could not be initialized.

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Module is OK -> 'c:\program files\avira\antivir personaledition classic\avscan.exe'

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe'

Scan process 'explorer.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\Explorer.EXE'

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\svchost.exe'

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\svchost.exe'

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\svchost.exe'

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\lsass.exe'

Scan process 'services.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\services.exe'

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\winlogon.exe'

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\system32\csrss.exe'

Scan process 'smss.exe' - '1' Module(s) have been scanned

Module is OK -> 'C:\WINDOWS\System32\smss.exe'

11 processes with 11 modules were scanned

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

pagefile.sys

[WARNING] The file could not be opened!

rapport.txt

SmitfraudFix.exe

[0] Archive type: RAR SFX (self extracting)

--> SmitfraudFix\404Fix.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\AntiXPVSTFix.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\beep_2K_original.sys

--> SmitfraudFix\beep_XP_original.sys

--> SmitfraudFix\dumphive.exe

--> SmitfraudFix\exit.exe

--> SmitfraudFix\GenericRenosFix.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\HostsChk.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\IEDFix.C.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\IEDFix.exe

[1] Archive type: Runtime Packed

--> Object

--> SmitfraudFix\Policies.exe

--> SmitfraudFix\Process.exe

--> SmitfraudFix\Reboot.exe

[DETECTION] Contains recognition pattern of the SPR/Tool.Reboot.F program

--> SmitfraudFix\restart.exe

[DETECTION] Contains recognition pattern of the SPR/Tool.Hardoff.A program

--> SmitfraudFix\SmitfraudFix.cmd

--> SmitfraudFix\SmiUpdate.exe

--> SmitfraudFix\SrchSTS.exe

 

 

--> 32788R22FWJFW\hidec.exe

[DETECTION] Contains recognition pattern of the SPR/Tool.Hide.A program

--> 32788R22FWJFW\NirCmd.cfexe

[DETECTION] Contains recognition pattern of the APPL/NirCmd.E.2.B application

--> 32788R22FWJFW\nircmd.com

[DETECTION] Contains recognition pattern of the APPL/NirCmd.E.2.B application

--> 32788R22FWJFW\NirCmd.inf

--> 32788R22FWJFW\NirCmdC.cfexe

[DETECTION] Contains recognition pattern of the APPL/NirCmd.E.1.B application

--> 32788R22FWJFW\psexec.cfexe

[1] Archive type: RSRC

--> Object

[DETECTION] Contains recognition pattern of the APPL/PsExec.E application

[WARNING] Infected files in archives cannot be repaired!

[0] Archive type: Runtime Packed

--> Object

Policies.exe

Process.exe

Reboot.exe

C:\Documents and Settings\Administrateur\Mes documents\téléchargements\antivirus\SmitfraudFix\

[DETECTION] Contains recognition pattern of the SPR/Tool.Reboot.F program

[NOTE] The file was deleted!

restart.exe

[DETECTION] Contains recognition pattern of the SPR/Tool.Hardoff.A program

[NOTE] The file was deleted!

[0] Archive type: CAB (Microsoft)

--> CMDOW.EXE

[DETECTION] Contains recognition pattern of the SPR/HideWindows.I program

[NOTE] The file was deleted!

End of the scan: dimanche 28 septembre 2008 23:33

Used time: 1:21:24 Hour(s)

 

The scan has been done completely.

 

8585 Scanning directories

453758 Files were scanned

13 viruses and/or unwanted programs were found

0 Files were classified as suspicious:

8 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

209 Files cannot be scanned

453536 Files not concerned

7593 Archives were scanned

295 Warnings

8 Notes

 

 

est-ce suffisant ?

merci....

j'attends tes commentaires pour réinstaller antivir ou suivre la procédure que tu m'as donnée

 

jacqueline

[jacquelien]

Encore moi...

voici le rapport sdfix

 

SDFix: Version 1.230

Run by jacqueline on 29/09/2008 at 20:40

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

Service asc3550p - Deleted

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-29 20:49:26

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Ex‚cuter une DLL en tant qu'application"

"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"

"C:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"="C:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe:*:Enabled:VNC Viewer Free Edition for Win32"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

"C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"

"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"

"C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Wed 7 May 2008 110,592 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cap centre p‚nitentiaire\~WRL0425.tmp"

Wed 7 May 2008 65,024 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cap centre p‚nitentiaire\~WRL0673.tmp"

Wed 7 May 2008 65,536 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cap centre p‚nitentiaire\~WRL1687.tmp"

Wed 7 May 2008 85,504 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cap centre p‚nitentiaire\~WRL3231.tmp"

Wed 7 May 2008 1,808,896 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\capfleuriste\~WRL1923.tmp"

Wed 7 May 2008 110,592 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cap centre p‚nitentiaire\~WRL0425.tmp"

Wed 7 May 2008 65,024 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cap centre p‚nitentiaire\~WRL0673.tmp"

Wed 7 May 2008 65,536 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cap centre p‚nitentiaire\~WRL1687.tmp"

Wed 7 May 2008 85,504 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cap centre p‚nitentiaire\~WRL3231.tmp"

Wed 7 May 2008 1,808,896 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\capfleuriste\~WRL1923.tmp"

Mon 21 Jan 2008 45,568 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\capfleuriste\2007-2008\~WRL0318.tmp"

Mon 21 Jan 2008 58,880 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\capfleuriste\2007-2008\~WRL0970.tmp"

Wed 13 Jun 2007 29,184 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\capmath\dossiers\~WRL3700.tmp"

Mon 21 Jan 2008 45,568 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\capfleuriste\2007-2008\~WRL0318.tmp"

Mon 21 Jan 2008 58,880 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\capfleuriste\2007-2008\~WRL0970.tmp"

Wed 13 Jun 2007 29,184 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\capmath\dossiers\~WRL3700.tmp"

Mon 8 Jan 2007 259,584 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\capmath\ccf\g‚om‚trie\~WRL2908.tmp"

Sun 9 Mar 2008 305,152 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cfa\BTSA AP\analyse_stats\~WRL2591.tmp"

Mon 21 Jan 2008 4,069,376 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cfa\BTSA AP\examens\~WRL2412.tmp"

Sat 3 Nov 2007 185,344 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\cours\cfa\BTSA AP\g‚om‚trie\~WRL0002.tmp"

Wed 7 Feb 2007 19,968 A..H. --- "C:\Documents and Settings\Administrateur\Mes documents\sites\mosaicaude\mosaique\FETE de la MOSAIQUE\~WRL3261.tmp"

Mon 8 Jan 2007 259,584 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\capmath\ccf\g‚om‚trie\~WRL2908.tmp"

Sun 9 Mar 2008 305,152 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cfa\BTSA AP\analyse_stats\~WRL2591.tmp"

Mon 21 Jan 2008 4,069,376 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cfa\BTSA AP\examens\~WRL2412.tmp"

Sat 3 Nov 2007 185,344 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\cours\cfa\BTSA AP\g‚om‚trie\~WRL0002.tmp"

Wed 7 Feb 2007 19,968 A..H. --- "C:\Documents and Settings\jacqueline\Mes documents\sites\mosaicaude\mosaique\FETE de la MOSAIQUE\~WRL3261.tmp"

 

Finished!

 

dans le prochain message j'envoie le rapport haijackithis

à tout de suite ...

[jacquelien]

et voici le rapport Hijackthis

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:58:23, on 29/09/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20861)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111...all/xscan53.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

 

--

End of file - 5825 bytes

 

 

bon j'y retourne pour MBAM )

[jacquelien]

et voici lrapport MBAM

Malwarebytes' Anti-Malware 1.28

Version de la base de données: 1222

Windows 5.1.2600 Service Pack 3

 

29/09/2008 21:09:51

mbam-log-2008-09-29 (21-09-46).txt

 

Type de recherche: Examen rapide

Eléments examinés: 46040

Temps écoulé: 4 minute(s), 40 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

ça m'a l'air bien cool tout ça...

 

mais j'attends tes infos

merci encore...

jacqueline

[Gof]

Bonjour jacquelien

 

Bien pour les rapports.

 

Antivir n'a détecté que l'outil SmitfraudFix, ils cohabitent mal tous les deux, mais rien de grave. SdFix a traité un reste, ainsi que MBAM.

HijackThis ne révèle rien d'inquiétant.

 

As-tu toujours des soucis quelconque ? Car en l'absence de symptômes, je pense que ton système a été correctement désinfecté déjà.

[jacquelien]

>As-tu toujours des soucis quelconque ? Car en l'absence de symptômes, je pense que ton système a été correctement désinfecté déjà.

 

Bonjour Gof

 

non plus de soucis...

que du bonheur

ton aide a été précieuse

je ne veux pas me fondre en remerciements mais le coeur y est

je découvre ce forum et je vous trouve ....

 

merci infiniment

jacqueline

Modifié le 30 septembre 2008 par jacquelien