multiples infections !

fabou4 · le 11 novembre 2008

bonjour

ma collègue m'a confié son PC car il ne démarrait plus, après une intervention de AVG ...

En fait AVG avait effacé user32.dll qui était vérollé. Je l'ai réinstallé par la console de récup. le PC redemarre.

pour être rassuré, j'ai fait un scan online avec PANDA : et là, aie aie aie ! il y a plusieurs cochonneries :

;*******************************************************************************

*********************************************************************************

*******************

ANALYSIS: 2008-11-11 11:34:55

PROTECTIONS: 1

MALWARE: 17

SUSPECTS: 2

;*******************************************************************************

*********************************************************************************

*******************

PROTECTIONS

Description Version Active Updated

;===============================================================================

=================================================================================

===================

AVG 7.5.549 7.5.549 Yes Yes

;===============================================================================

=================================================================================

===================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===============================================================================

=================================================================================

===================

00029426 adware/sbsoft Adware No 0 Yes No HKEY_CLASSES_ROOT\Interface\{95b92d92-8b7d-4a19-a3f1-43113b4dbcaf}

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@doubleclick[1].txt

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@atdmt[2].txt.sps

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@tradedoubler[1].txt

00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@tradedoubler[1].txt.sps

00145405 Cookie/RealMedia TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@247realmedia[2].txt.sps

00145457 Cookie/FastClick TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@fastclick[1].txt.sps

00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@tribalfusion[1].txt.sps

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@mediaplex[2].txt.sps

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@xiti[1].txt.sps

00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@xiti[1].txt

00170554 Cookie/Overture TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@overture[1].txt.sps

00207936 Cookie/Adviva TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@adviva[1].txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@smartadserver[1].txt.sps

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Documents and Settings\Judith\Cookies\judith@smartadserver[2].txt

02854181 Application/MyWebSearch HackTools No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3PSSAVR.SCR.xpx

02854181 Application/MyWebSearch HackTools No 0 Yes No C:\WINDOWS\system32\f3PSSavr.scr.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3WPHOOK.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\Internet Explorer\msimg32.dll.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3BROVLY.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Documents and Settings\Judith\Local Settings\Application Data\kcmem.exe.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3HTMLMU.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3HTTPCT.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3IMSTUB.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Documents and Settings\Judith\Local Settings\Application Data\guggqki.exe.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3REPROX.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3RESTUB.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3SCHMON.EXE.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3SCRCTR.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\F3HISTSW.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\M3IDLE.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\M3SLSRCH.EXE.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL.xpx

03009106 W32/Xor-encoded.A Virus No 0 Yes No C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE.xpx

03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Program Files\Spyware-Secure\Spyware-Secure_repaironce.exe

03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Documents and Settings\Judith\Bureau\Eli\InstallCasinoV2.exe

03310023 Trj/Trymedia.gen Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{9F832052-6B2F-48A7-A726-8F88081A1155}\RP250\A0123863.exe

03431697 Generic Malware Virus/Trojan No 0 Yes No C:\System Volume Information\_restore{9F832052-6B2F-48A7-A726-8F88081A1155}\RP204\A0112258.exe

03431697 Generic Malware Virus/Trojan No 0 No No C:\Documents and Settings\Judith\Mes documents\SpywareSecure_trial_setup.exe[spyware-Secure_trial.exe]

03431697 Generic Malware Virus/Trojan No 0 Yes No C:\Program Files\Spyware-Secure\Spyware-Secure_trial.exe

;===============================================================================

=================================================================================

===================

SUSPECTS

Sent Location

;===============================================================================

=================================================================================

===================

No C:\Program Files\MyWebSearch\bar\1.bin\M3IMPIPE.EXE

No C:\Program Files\Spyware-Secure\Spyware-Secure.exe

;===============================================================================

=================================================================================

===================

VULNERABILITIES

Id Severity Description

;===============================================================================

=================================================================================

===================

;===============================================================================

=================================================================================

===================

et voici le log hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:09:57, on 11/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hphmon05.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\QuickTime\QTTask.exe

C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program Files\Lexmark 3400 Series\lxcymon.exe

C:\Program Files\Lexmark 3400 Series\ezprint.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Program Files\LogMeIn\x86\LogMeInSystray.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\Program Files\TRENDnet\TEW-624UB_TEW-644UB\WlanCU.exe

C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\LogMeIn\x86\RaMaint.exe

C:\Program Files\LogMeIn\x86\LogMeIn.exe

C:\Program Files\LogMeIn\x86\LMIGuardian.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\lxcycoms.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe

F:\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...n&pf=laptop

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)

O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [HPHUPD05] c:\Program Files\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [lxcymon.exe] "C:\Program Files\Lexmark 3400 Series\lxcymon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 3400 Series\ezprint.exe"

O4 - HKLM\..\Run: [LXCYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCYtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')

O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: TEW-624UB & TEW-644UB Manager.lnk = C:\Program Files\TRENDnet\TEW-624UB_TEW-644UB\WlanCU.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/...?p=ZJxdm247YYFR

O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.canalplay.com (HKLM)

O15 - Trusted Zone: *.canalplusactive.com (HKLM)

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Facebo...toUploader5.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/f...p1.0.0.15-3.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1157659411640

O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://drivers1.free.fr/telecharger.php?id=2&version=

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe

O23 - Service: Validation de mot de passe Symantec IS (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe

O23 - Service: lxcy_device - - C:\WINDOWS\system32\lxcycoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

--

End of file - 13045 bytes

si quelqu'un voulait bien m'aider car là, il y en a trop pour moi.

cordialement;

pear · le 11 novembre 2008

Bonjour,

Commencez par cela:

Téléchargez Toolbar-S&D sur le Bureau.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Lancez l'installation du programme en exécutant le fichier téléchargé.
Double-cliquez sur le raccourci de Toolbar-S&D.
Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.
Choisisssez l'option 1 (Recherche).
Patientez jusqu'à la fin de la recherche.
Postez le rapport généré. (C:\TB.txt)

Relancez Toolbar-S&D en double-cliquant sur le raccourci. Tapez sur "2" et validez par"Entrée".

Ne fermez pas la fenêtre lors de la suppression !

Un rapport sera généré,

postez son contenu ici.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Allez à l'onglet "Processus". Cliquez en haut à gauche sur Fichier ->"Exécuter..."

Tapez explorer et validez.

ensuite nouvel Hijackthis, svp.

Bonjour,

Commencez par cela:

Téléchargez Toolbar-S&D sur le Bureau.

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Lancez l'installation du programme en exécutant le fichier téléchargé.
Double-cliquez sur le raccourci de Toolbar-S&D.
Sélectionnez la langue souhaitée en tapant la lettre de votre choix puis en validant avec la touche Entrée.
Choisisssez l'option 1 (Recherche).
Patientez jusqu'à la fin de la recherche.
Postez le rapport généré. (C:\TB.txt)

Relancez Toolbar-S&D en double-cliquant sur le raccourci. Tapez sur "2" et validez par"Entrée".

Ne fermez pas la fenêtre lors de la suppression !

Un rapport sera généré,

postez son contenu ici.

NOTE : Si le Bureau ne réapparait pas, appuyer simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.

Allez à l'onglet "Processus". Cliquez en haut à gauche sur Fichier ->"Exécuter..."

Tapez explorer et validez.

ensuite nouvel Hijackthis, svp.

fabou4 · le 11 novembre 2008

bonjour PEAR !

merci de ton aide !!!

voici le rapport après desinfection

-----------\\ ToolBar S&D 1.2.4 XP/Vista

Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : Intel® Pentium® 4 CPU 3.00GHz )

BIOS : Ver 1.00PARTTBL

USER : Judith ( Administrator )

BOOT : Normal boot

Antivirus : AVG 7.5.549 7.5.549 (Activated)

C:\ (Local Disk) - NTFS - Total:30 Go (Free:6 Go)

D:\ (CD or DVD)

E:\ (Local Disk) - FAT32 - Total:25 Go (Free:25 Go)

F:\ (USB) - FAT - Total:118 Mo (Free:0 Go)

"C:\ToolBar SD" ( MAJ : 27-10-2008|09:25 )

Option : [2] ( 11/11/2008|14:59 )

-----------\\ SUPPRESSION

Supprime! - C:\DOCUME~1\Judith\APPLIC~1\FunWebProducts\Data

Supprime! - C:\Program Files\FunWebProducts\ScreenSaver

Supprime! - C:\Program Files\FunWebProducts\Shared

Supprime! - C:\Program Files\MyWebSearch\bar

Supprime! - C:\Program Files\MyWebSearch\SrchAstt

Supprime! - C:\DOCUME~1\Judith\Cookies\judith@mywebsearch[2].txt.sps

Supprime! - C:\DOCUME~1\Judith\Cookies\judith@mywebsearch[2].txt.xpx

Supprime! - C:\DOCUME~1\Judith\APPLIC~1\FunWebProducts

Supprime! - C:\Program Files\FunWebProducts

Supprime! - C:\Program Files\MyWebSearch

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ Extensions

(Judith) - {3112ca9c-de6d-4884-a869-9855de68056c} => google-toolbar

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Page"="http://www.google.com"

"Default_Page_URL"="http://fr.msn.com/"'>http://fr.msn.com/"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://fr.msn.com/"

"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"'>http://go.microsoft.com/fwlink/?LinkId=54896"

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Page"="http://www.msn.com/"

--------------------\\ Recherche d'autres infections

C:\WINDOWS\System32\nvs2.inf

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\guggqki.dat

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\guggqki.exe.xpx

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\guggqki_nav.dat

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\guggqki_navps.dat

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\kcmem.dat

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\kcmem.exe.xpx

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\kcmem_nav.dat

C:\DOCUME~1\Judith\LOCALS~1\APPLIC~1\kcmem_navps.dat

==> EGDACCESS <==

--------------------\\ ROGUES ..

C:\DOCUME~1\Judith\MENUDM~1\PROGRA~1\Spyware-Secure

C:\PROGRA~1\Spyware-Secure

1 - "C:\ToolBar SD\TB_1.txt" - 11/11/2008|15:01 - Option : [2]

-----------\\ Fin du rapport a 15:01:30,31

voici le rapport hijack demandé :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:07:41, on 11/11/2008