Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Ca y est c'est fait, j'ai vu du bleu quand même :P mais je crois que ça a marché. A toi maintenant

 

ComboFix 08-12-01.01 - HP_Propriétaire 2008-12-01 22:35:09.1 - NTFSx86

 

Lancé depuis: c:\documents and settings\HP_Propriétaire\Bureau\ComboFix.exe

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\install.exe

c:\windows\csrss.MSNFix

c:\windows\system32\awtuvUkh.dll

c:\windows\system32\byXQGXom.dll

c:\windows\system32\cbXOHBQh.dll

c:\windows\system32\dqvtllem.dll

c:\windows\system32\fuomur.dll

c:\windows\system32\geBrsroO.dll

c:\windows\system32\jkkLDvUn.dll

c:\windows\system32\opnooLFu.dll

c:\windows\system32\qoMFVLde.dll

c:\windows\system32\rqRJYoLC.dll

c:\windows\system32\uFLoonpo.ini

c:\windows\system32\uFLoonpo.ini2

c:\windows\system32\wvUllJBu.dll

c:\windows\system32\xxyXOHya.dll

c:\windows\system32\yayYSLCv.dll

c:\windows\System32csrss.exe

c:\windows\Tasks\apodigdq.job

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-01 au 2008-12-01 ))))))))))))))))))))))))))))))))))))

.

 

2008-12-01 21:22 . 2008-12-01 21:22 <REP> d-------- c:\program files\Trend Micro

2008-12-01 18:46 . 2008-12-01 18:46 39,986 --a------ C:\rrrreet.exe

2008-12-01 18:25 . 2008-12-01 18:25 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-12-01 18:25 . 2008-12-01 18:25 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\Malwarebytes

2008-12-01 18:25 . 2008-12-01 18:25 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-12-01 18:25 . 2008-10-22 16:28 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-12-01 18:25 . 2008-10-22 16:28 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-12-01 16:02 . 2008-12-01 20:09 0 --a------ c:\windows\system32\mcrh.MSNFix

2008-11-30 23:32 . 2008-11-30 23:32 65,074 --a------ C:\oror.MSNFix

2008-11-30 21:00 . 2008-11-25 20:44 48,690 --a------ c:\windows\fxstaller.MSNFix

2008-11-29 17:22 . 2008-11-29 17:22 <REP> d-------- c:\documents and settings\HP_Propriétaire\Application Data\HiYo

2008-11-12 19:35 . 2008-11-12 19:35 <REP> d-------- c:\program files\NAVIGON

2008-11-12 18:03 . 2008-11-12 18:03 1,393 --a------ c:\windows\imsins.BAK

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-01 21:46 --------- d-----w c:\program files\Wanadoo

2008-12-01 17:29 --------- d-----w c:\program files\Midori

2008-12-01 17:26 --------- d-----w c:\program files\Yahoo!

2008-11-09 13:42 --------- d-----w c:\program files\MesNews

2008-11-08 23:32 --------- d-----w c:\program files\Microsoft Games

2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-06 09:42 --------- d-----w c:\documents and settings\HP_Propriétaire\Application Data\AdobeUM

2008-10-05 15:25 --------- d-----w c:\program files\Webtarot

2007-12-11 20:54 4,278 -c--a-w c:\documents and settings\HP_Propriétaire\Application Data\wklnhst.dat

2007-05-02 22:51 104 -csha-r c:\windows\system32\318A8242E2.sys

2006-07-17 16:10 88 -csha-r c:\windows\system32\E242828A31.sys

2008-08-26 09:15 4,184 -csha-w c:\windows\system32\KGyGaAvL.sys

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="00" [X]

"WOOKIT"="c:\progra~1\Wanadoo\GestMaj.exe" [2004-10-14 32768]

"msnmsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2008-07-24 243072]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-05 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2005-01-02 36972]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]

"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]

"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]

"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-13 339968]

"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]

"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-01-02 98304]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2005-06-24 278528]

"WOOWATCH"="c:\progra~1\Wanadoo\Watch.exe" [2004-08-23 20480]

"Start Natso Backup Home 4.21"="c:\program files\Natso Backup\natsobackup_home.exe" [2005-08-05 611840]

"Raccourci vers la page des propriétés de High Definition Audio"="HDAudPropShortcut.exe" [2004-03-17 c:\windows\system32\Hdaudpropshortcut.exe]

"SoundMan"="SOUNDMAN.EXE" [2005-04-07 c:\windows\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2005-04-07 c:\windows\ALCWZRD.EXE]

"AGRSMMSG"="AGRSMMSG.exe" [2006-06-07 c:\windows\AGRSMMSG.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"WOOKIT"="c:\program files\Wanadoo\GestMaj.exe" [2004-10-14 32768]

 

c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2003-09-30 57344]

 

c:\documents and settings\Default User\Menu D‚marrer\Programmes\D‚marrage\

AutoTBar.exe [2003-09-30 57344]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-05 258048]

NkvMon.exe.lnk - c:\program files\Nikon\NkView6\NkvMon.exe [2008-02-26 241664]

Windows Desktop Search.lnk - c:\program files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe [2005-09-20 17:10:04 238080]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=fuomur.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.MJPG"= pvmjpg21.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Microsoft Librarys Server REG_SZ c:\windows\system32csrss.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\sandra.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\RpcSandraSrv.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR2a\\RpcDataSrv.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\sandra.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcSandraSrv.exe"=

"c:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite 2005.SR3\\RpcDataSrv.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.ICD"=

"c:\\Program Files\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"=

"c:\\Program Files\\Wanadoo\\WOOBrowser\\WOOBrowser.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=

"c:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Games\\Age of Empires II The Conquerors Expansion Trial\\age2_x1t.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"59066:TCP"= 59066:TCP:Pando P2P TCP Listening Port

"59066:UDP"= 59066:UDP:Pando P2P UDP Listening Port

 

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{16435e36-17b7-417a-b603-412ba8de3e7b} - c:\windows\system32\fuomur.dll

BHO-{D67815FC-CC10-40E7-881B-FF4B26A562E8} - c:\windows\system32\opnooLFu.dll

HKCU-Run-Microsoft Librarys Server - c:\windows\system32csrss.exe

HKLM-Run-Microsoft Librarys Server - c:\windows\system32csrss.exe

HKU-Default-RunOnce-^SetupICWDesktop - (no file)

 

 

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\HP_Propriétaire\Application Data\Mozilla\Firefox\Profiles\1nwkxzff.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.fr/firefox

FF -: plugin - c:\program files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava11.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava12.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava13.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava14.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJava32.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPJPI150.dll

FF -: plugin - c:\program files\Java\jre1.5.0\bin\NPOJI610.dll

FF -: plugin - c:\program files\Yahoo!\Common\npyaxmpb.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-01 22:46:14

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Microsoft Librarys Server = c:\windows\system32csrss.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(740)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\ati2evxx.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\FTRTSVC.exe

c:\program files\iPod\bin\iPodService.exe

c:\progra~1\Wanadoo\EspaceWanadoo.exe

c:\progra~1\Wanadoo\ComComp.exe

c:\windows\system32\wscntfy.exe

c:\progra~1\Wanadoo\Toaster.exe

c:\progra~1\Wanadoo\Inactivity.exe

c:\progra~1\Wanadoo\PollingModule.exe

c:\progra~1\Wanadoo\ALERTM~1.EXE

c:\program files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe

c:\program files\IncrediMail\bin\ImApp.exe

c:\program files\Mozilla Firefox\firefox.exe

.

**************************************************************************

.

Heure de fin: 2008-12-01 22:55:58 - La machine a redémarré

ComboFix-quarantined-files.txt 2008-12-01 21:55:54

 

Avant-CF: 147 220 062 208 octets libres

Après-CF: 147,353,960,448 octets libres

 

192 --- E O F --- 2008-11-13 23:12:36

Posté(e)

Ouki,

 

Tu vois qu'il est pas méchant; du bleu? Tu avais bien fermé toutes les applications?

 

Bon le principal est le résultat et il a bien fonctionné. On l'enlèvera plus tard.

 

En attendant fais-moi un nouveau log Hijackthis stp.

 

++ :P

Posté(e)

Et voilà

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:07:51, on 01/12/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.5.0\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\HP\KBD\KBD.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Natso Backup\natsobackup_home.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Toaster.exe

C:\PROGRA~1\Wanadoo\Inactivity.exe

C:\PROGRA~1\Wanadoo\PollingModule.exe

C:\PROGRA~1\Wanadoo\ALERTM~1.EXE

C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearchIndexer.exe

C:\Program Files\IncrediMail\bin\IMApp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/french

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/go/mypcchoice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Barre d'outils MSN Search Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Vue HP - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program Files\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program Files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [start Natso Backup Home 4.21] C:\Program Files\Natso Backup\natsobackup_home.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-2514177829-3338279185-2269394350-1008\..\Run: [WooCnxMon] (User '?')

O4 - HKUS\S-1-5-21-2514177829-3338279185-2269394350-1008\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe EspaceWanadoo.exe (User '?')

O4 - HKUS\S-1-5-21-2514177829-3338279185-2269394350-1008\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background (User '?')

O4 - HKUS\S-1-5-21-2514177829-3338279185-2269394350-1008\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c (User '?')

O4 - HKUS\S-1-5-21-2514177829-3338279185-2269394350-1008\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe (User '?')

O4 - HKUS\.DEFAULT\..\Run: [WOOKIT] C:\Program Files\Wanadoo\GestMaj.exe EspaceWanadoo.exe (User 'Default user')

O4 - S-1-5-18 Startup: AutoTBar.exe (User '?')

O4 - .DEFAULT Startup: AutoTBar.exe (User 'Default user')

O4 - .DEFAULT User Startup: AutoTBar.exe (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\MSN Toolbar Suite\DS\02.05.0001.1119\fr-fr\bin\WindowsSearch.exe

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1196861465703

O17 - HKLM\System\CCS\Services\Tcpip\..\{8B387C50-29B2-4E7F-A2C9-3763441DB516}: NameServer = 80.10.246.5 80.10.246.136

O20 - AppInit_DLLs: fuomur.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe

O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

 

--

End of file - 10939 bytes

Posté(e)

Il reste une suspicion de Vundo, je vois que tu as MBAM, on va l'utiliser.

 

Voici la procédure à suivre.

 

Un peu de nettoyage pour commencer: ne télécharge évidement pas ce que tu as déjà. :P

 

Télécharger ATF Cleaner par Atribune.

  • Installe-le sur le bureau. (A conserver car très utile après chaque séance de surf)
     
    Double-clique ATF-Cleaner.exe afin de lancer le programme.
    --> Sous Vista: Clic droit/exécuter en temps qu'administrateur.
    Sous l'onglet Main, choisis : Select All
    Cliquer sur le bouton Empty Selected

Si tu utilises le navigateur Firefox :

  • Clique Firefox au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

Si tu utilises le navigateur Opera :

  • Clique Opera au haut et choisis : Select All
    Cliquer le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, cliquer No à l'invite.

Clique Exit, du menu principal, afin de fermer le programme.

Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder, il rendra encore de grands services!

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

Poste un nouveau log Hijackthis après le redémarrage de la machine stp.

 

Le reste sera de la finition et mises à jour de quelques applications à risque comme les anciennes versions de Java entr'autres; on a le temps de voir ça après fin de désinfection quand tu as le temps.

 

@++

Posté(e)

Okay il n'y a plus grand-chose.

 

Tu parles de mises à jour, de quoi parles-tu?

 

Si c'est Java, il faudra encore utiliser un outil pour virer toutes les anciennes install et il y en a hein je les ai vues dans ComboFix.

 

Mais ça c'est vite fait.

 

Pour le reste on verra, tu pourras faire le long scan MBAM demain si tu veux.

 

Pour Java il faut procéder de la sorte, c'est assez récent comme méthode mais très pratique.

 

Si tu as déjà téléchargé la 6 update 10 ne le refais pas bien sûr, on vire alors seulement les anciennes.

 

Je te propose de d'abord installer la dernière version de Java avant de passer JavaRa.

 

http://www.java.com/fr/download/manual.jsp

 

Ta console Java étant alors à jour, utilise JavaRa.

Mais n'utilise que le bouton que je te montre:

img-2327100u0pq.jpg

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

  • Décompresse le fichier sur ton bureau (clic droit > Extraire tout)
  • Double-clique sur le répertoire JavaRa obtenu
  • Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher)
  • Sous Vista: clic droit/Excécuter en temps qu'administrateur Clique sur Search For Updates
  • Sélectionne Update Using jucheck.exe puis clique sur Search
  • Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
  • Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions
  • Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
  • Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log (c:\JavaRa.log)
  • Ferme l'application

 

Il faudra rester à l'affût demain pour voir les autres correctifs à faire, car il s'agit de sécurité, et c'est bien mon rôle ici de veiller à ce que tout soit correct. :P

 

Surtout pour une amie :P (mais je le fais pour tous).

 

Il faudra aussi qu'on vire les outils quand ce sera le bon moment.

 

@++

Posté(e)

Ah voui ok.

 

M'enfin faudra toujours le faire pour Java mais c'est pas le plus urgent pour l'instant; faut d'abord nettoyer.

 

On fera tous les correctifs une fois le problème infection résolu. :P

 

Je croyais que t'étais partie faire dodo moua. :P

 

C'est un bon truc ce MBAM quand-même mais aucun n'est parfait quand on voit ce qu'a viré comboFix!

 

J'ai demandé une info supplémentaire mais j'ignore si le copain passera encore ce soir; je verrai demain s'il m'a répondu.

 

Le 56 k y'a plus qu'à la cambrousse qu'on trouve ça non?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...