[resolu] infection malware defense (encore un, et oui :/)

[Apollo]

Je précise:

 

en mode sans échec, lance ComboFix comme je te l'ai indiqué.

 

Si je te fais aller dans ce mode, c'est justement parce pour que les protections résidentes soient désactivées.

 

Rien ne gênera donc le travail de Combofix.

 

Sois patient pendant l'analyse et ne touche à rien; tu ne pourras pas installer la console de récupération en mode sans échec (normal, pas de connexion au net).

 

On pourra toujours l'installer par la suite.

 

@++

[maxibestof]

Euhm, malheureusement, même quand je suis en mode sans échec, Antivir Desktop est toujours actif.

Bref, ma protection résidente est activée quoi !

Je ne sais pas comment la désactiver.

Et comboFix me demande et toi aussi "Désactive ton antivirus, firewall et antispyware le temps de l'analyse." de le déconnecter le temps de l'analyse.

 

ConboFix pourrait continuer à s'éxécuter mais il me dit que c'est à mes "risques et périls".

 

Qu'aies je raté ?

[Apollo]

Re,

 

C'est pas possible ça, le résident antivirus ne peut pas s'activer en mode sans échec, c'est d'ailleurs pour cela que je te dis de choisir ce mode.

 

Passe outre l'avertissement ou désinstalle Antivir; on le réinstallera une fois que ComboFix aura pu travailler.

 

N'hésite pas à poser des questions.

 

@++

[maxibestof]

Voici le rapport !

 

ComboFix 09-12-27.03 - Laurent 29/12/2009 2:58.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1681 [GMT 1:00]

Lancé depuis: d:\documents and settings\Laurent\Bureau\maxibestof.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

 

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

d:\docume~1\Laurent\LOCALS~1\Temp\wscsvc32.exe

d:\documents and settings\All Users\Bureau\nudetube.com.lnk

d:\documents and settings\All Users\Bureau\pornotube.com.lnk

d:\documents and settings\All Users\Bureau\youporn.com.lnk

d:\windows\system32\drivers\H8SRTrwxvnsroir.sys

d:\windows\system32\H8SRTgkaiaqjoow.dll

d:\windows\system32\H8SRTsipxfmlwbu.dll

d:\windows\system32\H8SRTyxgwwkbixr.dat

d:\windows\system32\krl32mainweq.dll

d:\windows\system32\srcr.dat

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_H8SRTd.sys

-------\Legacy_H8SRTd.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-28 14:03 . 2009-12-03 15:14 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys

2009-12-28 14:03 . 2009-12-28 14:04 -------- d-----w- d:\program files\Malwarebytes' Anti-Malware

2009-12-28 14:03 . 2009-12-28 14:03 -------- d-----w- d:\documents and settings\All Users\Application Data\Malwarebytes

2009-12-28 14:03 . 2009-12-03 15:13 19160 ----a-w- d:\windows\system32\drivers\mbam.sys

2009-12-28 13:57 . 2009-12-28 13:57 -------- d--h--w- d:\windows\PIF

2009-12-28 12:08 . 2009-12-28 12:08 -------- d-----w- d:\windows\system32\LogFiles

2009-12-27 22:20 . 2009-12-27 22:21 -------- d-----w- d:\program files\trend micro

2009-12-27 22:20 . 2009-12-27 22:21 -------- d-----w- D:\rsit

2009-12-27 21:54 . 2009-12-29 02:11 -------- d-----w- d:\program files\Malware Defense

2009-12-01 13:24 . 2009-12-01 13:24 -------- d-----w- d:\documents and settings\Laurent\Application Data\Cisco

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-29 02:13 . 2009-10-28 19:46 -------- d-----w- d:\documents and settings\Laurent\Application Data\WTablet

2009-12-29 02:02 . 2008-04-14 12:00 49898 ----a-w- d:\windows\system32\perfc00C.dat

2009-12-29 02:02 . 2008-04-14 12:00 371218 ----a-w- d:\windows\system32\perfh00C.dat

2009-12-11 22:34 . 2009-11-27 16:50 -------- d-----w- d:\documents and settings\Laurent\Application Data\Skype

2009-12-10 18:02 . 2009-10-28 15:44 56816 ----a-w- d:\windows\system32\drivers\avgntflt.sys

2009-11-27 16:50 . 2009-11-27 16:50 -------- d-----r- d:\program files\Skype

2009-11-27 16:50 . 2009-11-27 16:50 -------- d-----w- d:\documents and settings\All Users\Application Data\Skype

2009-11-27 11:29 . 2009-10-23 14:48 93093 ----a-w- d:\windows\system32\nvModes.dat

2009-11-17 18:27 . 2009-10-26 09:41 -------- d-----w- d:\documents and settings\Laurent\Application Data\vlc

2009-11-10 16:43 . 2009-10-28 15:45 98680 ----a-w- d:\documents and settings\Laurent\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-11-06 00:13 . 2009-11-06 00:08 -------- d-----w- d:\documents and settings\All Users\Application Data\Microsoft Help

2009-11-06 00:12 . 2009-11-06 00:12 -------- d-----w- d:\program files\Microsoft Works

2009-11-06 00:12 . 2009-11-06 00:12 -------- d-----w- d:\program files\MSBuild

2009-10-29 05:25 . 2008-04-14 12:00 671232 ----a-w- d:\windows\system32\wininet.dll

2009-10-27 21:55 . 2009-10-27 21:55 411368 ----a-w- d:\windows\system32\deploytk.dll

2009-10-27 21:54 . 2009-10-27 21:54 152576 ----a-w- d:\documents and settings\Laurent\Application Data\Sun\Java\jre1.6.0_16\lzma.dll

2009-10-24 11:25 . 2009-10-24 11:25 664 ----a-w- d:\windows\system32\d3d9caps.dat

2009-10-21 05:39 . 2008-04-14 12:00 75776 ----a-w- d:\windows\system32\strmfilt.dll

2009-10-21 05:39 . 2008-04-14 12:00 25088 ----a-w- d:\windows\system32\httpapi.dll

2009-10-20 22:25 . 2009-10-20 15:54 86331 ----a-w- d:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-10-20 18:27 . 2009-10-20 18:27 0 ----a-w- d:\windows\nsreg.dat

2009-10-20 18:26 . 2009-10-20 18:26 826856 ----a-w- d:\documents and settings\Laurent\Application Data\MSNInstaller\msnauins.exe

2009-10-20 16:20 . 2008-04-14 12:00 265728 ----a-w- d:\windows\system32\drivers\http.sys

2009-10-20 15:52 . 2009-10-20 15:52 21892 ----a-w- d:\windows\system32\emptyregdb.dat

2009-10-13 10:33 . 2008-04-14 12:00 271360 ----a-w- d:\windows\system32\oakley.dll

2009-10-12 13:39 . 2008-04-14 12:00 79872 ----a-w- d:\windows\system32\raschap.dll

2009-10-12 13:39 . 2008-04-14 12:00 150528 ----a-w- d:\windows\system32\rastls.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="d:\program files\Messenger\msmsgs.exe" [2008-04-13 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Broadcom Wireless Manager UI"="d:\windows\system32\WLTRAY.exe" [2008-06-02 2220032]

"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2008-02-22 13508608]

"nwiz"="nwiz.exe" [2008-02-22 1626112]

"NVHotkey"="nvHotkey.dll" [2008-02-22 86016]

"NvMediaCenter"="d:\windows\system32\NvMcTray.dll" [2008-02-22 86016]

"SynTPEnh"="d:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-10-26 1024000]

"OEM02Mon.exe"="d:\windows\OEM02Mon.exe" [2007-05-09 36864]

"SigmatelSysTrayApp"="d:\program files\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]

"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="d:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-10-27 149280]

"avgnt"="d:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"GrooveMonitor"="d:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

d:\documents and settings\Laurent\Menu D‚marrer\Programmes\D‚marrage\

OneNote 2007 Screen Clipper and Launcher.lnk - d:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

 

d:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Digital Line Detect.lnk - d:\program files\Digital Line Detect\DLG.exe [2009-10-23 50688]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"d:\\Program Files\\Messenger\\msmsgs.exe"=

"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"d:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"d:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"d:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;d:\program files\Avira\AntiVir Desktop\sched.exe [28/10/2009 16:44 108289]

R2 TabletServicePen;TabletServicePen;d:\windows\system32\Pen_Tablet.exe [28/10/2009 20:46 2749736]

R2 vpnagent;Cisco AnyConnect VPN Agent;d:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [23/04/2007 04:12 336944]

S3 wacmoumonitor;Wacom Mode Helper;d:\windows\system32\drivers\wacmoumonitor.sys [28/10/2009 20:46 15656]

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = *.local

IE: E&xport to Microsoft Excel - d:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: esc-toulouse.fr\vpn

DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://vpn.esc-toulouse.fr/CACHE/stc/3/binaries/vpnweb.cab

FF - ProfilePath - d:\documents and settings\Laurent\Application Data\Mozilla\Firefox\Profiles\vnnaon0m.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-Malware Defense - d:\program files\Malware Defense\mdefense.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-29 03:13

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'winlogon.exe'(896)

d:\windows\System32\BCMLogon.dll

 

- - - - - - - > 'explorer.exe'(3260)

d:\windows\system32\eappprxy.dll

.

------------------------ Autres processus actifs ------------------------

.

d:\windows\System32\WLTRYSVC.EXE

d:\windows\System32\bcmwltry.exe

d:\program files\Avira\AntiVir Desktop\avguard.exe

d:\program files\Bonjour\mDNSResponder.exe

d:\program files\Java\jre6\bin\jqs.exe

d:\windows\system32\nvsvc32.exe

d:\windows\system32\wdfmgr.exe

d:\windows\system32\WTablet\Pen_TabletUser.exe

d:\windows\system32\wbem\wmiapsrv.exe

d:\windows\system32\rundll32.exe

d:\windows\system32\RUNDLL32.EXE

d:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Heure de fin: 2009-12-29 03:16:34 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-12-29 02:16

 

Avant-CF: 81 914 609 664 octets libres

Après-CF: 83 445 080 064 octets libres

 

- - End Of File - - 552222F3F3F21FB94278899190FED5D6

 

 

Par contre, je ne sais s'il est utile de le préciser, mais qd mon ordi s'est redemarré automatiquement (par l'action de ComboFix ?) mon Antivir a detecté automatiquement le virus malware defense, et ça a bloqué la progression du scan (écran bleu avec toutes les étapes).

J'ai donc choisi de le "supprimer", plutôt que de le "mettre en quarantaine" ou de "l'ignorer" ce qui a permis au scann de ComboFix de reprendre.

 

Par contre, il reste encore deux raccourcis Malware Defense sur le bureau !

D'autre part, depuis cet incident, qd je démarre Google, celui-ci me demande si je veux l'utiliser comme browser par défaut ? y'a t'il anguille sous roche ?

 

Encore merci à toi pour les réponses ici (et celui en mp), je pense pas que tout soit fini, mais mon icône Antivir est réapparu, et ça fait plaisir !

J'attends ton intervention pour la suite, encore merci !

Modifié le 29 décembre 2009 par maxibestof

[Apollo]

Bonjour,

 

Si tu as MBAM et qu'il ne démarre pas, désinstalle-le et réinstalle un nouveau.

Procédure:

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[maxibestof]

Et voilà !! Je poste un rapport Hijack dans un prochain post !

 

Malwarebytes' Anti-Malware 1.42

Version de la base de données: 3449

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

29/12/2009 13:10:02

mbam-log-2009-12-29 (13-10-02).txt

 

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 158267

Temps écoulé: 20 minute(s), 5 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 2

Fichier(s) infecté(s): 17

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\malware defense (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

D:\Program Files\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Menu Démarrer\Programmes\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

D:\Program Files\Malware Defense\mdext.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\Program Files\Malware Defense\uninstall.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\Qoobox\Quarantine\D\WINDOWS\system32\H8SRTgkaiaqjoow.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\Qoobox\Quarantine\D\WINDOWS\system32\H8SRTsipxfmlwbu.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\Qoobox\Quarantine\D\WINDOWS\system32\drivers\H8SRTrwxvnsroir.sys.vir (Malware.Packer) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{C68DA1C8-8959-469A-9919-24A262EA8D7F}\RP65\A0023370.sys (Malware.Packer) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{C68DA1C8-8959-469A-9919-24A262EA8D7F}\RP65\A0023371.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{C68DA1C8-8959-469A-9919-24A262EA8D7F}\RP65\A0023372.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{C68DA1C8-8959-469A-9919-24A262EA8D7F}\RP65\A0023404.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

D:\Program Files\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Program Files\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Menu Démarrer\Programmes\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Menu Démarrer\Programmes\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Menu Démarrer\Programmes\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Bureau\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Bureau\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

D:\Documents and Settings\Laurent\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

[Apollo]

Il a l'air d'avoir retrouvé la pêche ton ordi: 20 minutes pour une analyse complète...

 

Désinstalle ComboFix de la manière suivante:

 

Clique sur Démarrer > Exécuter et copie/colle le texte en gras ci-dessous dans la zone de saisie Ouvrir puis cliquer sur OK

 

ComboFix /Uninstall

 

Supprimer les dossiers c:\Qoobox et c:\ComboFix s'ils étaient encore présents sur le C:\

Vider la corbeille.

 

@++

[Apollo]

Poste ton nouveau log Hijackthis please.

 

@++

[maxibestof]

Poste ton nouveau log Hijackthis please.

 

@++

 

Ceci est mon log hijack avant désinstallation de Combofix et suppression des deux fichiers

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:03:02, on 29/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

D:\WINDOWS\System32\WLTRYSVC.EXE

D:\WINDOWS\System32\bcmwltry.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Avira\AntiVir Desktop\sched.exe

D:\Program Files\Avira\AntiVir Desktop\avguard.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\Pen_Tablet.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\Pen_Tablet.exe

D:\WINDOWS\system32\WLTRAY.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Synaptics\SynTP\SynTPEnh.exe

D:\WINDOWS\OEM02Mon.exe

D:\Program Files\SigmaTel\C-Major Audio\WDM\stsystra.exe

D:\Program Files\Java\jre6\bin\jusched.exe

D:\Program Files\Avira\AntiVir Desktop\avgnt.exe

D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Digital Line Detect\DLG.exe

D:\WINDOWS\system32\wbem\wmiapsrv.exe

D:\Program Files\Java\jre6\bin\jucheck.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\WINDOWS\system32\ctfmon.exe

D:\Documents and Settings\Laurent\Bureau\HiJackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] D:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [synTPEnh] D:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [OEM02Mon.exe] D:\WINDOWS\OEM02Mon.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [GrooveMonitor] "D:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OneNote 2007 Screen Clipper and Launcher.lnk = D:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Digital Line Detect.lnk = D:\Program Files\Digital Line Detect\DLG.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} (Cisco AnyConnect VPN Client Web Control) - https://vpn.esc-toulouse.fr/CACHE/stc/3/binaries/vpnweb.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - D:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: Cisco AnyConnect VPN Agent (vpnagent) - Cisco Systems, Inc. - D:\Program Files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - D:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 6719 bytes

 

Et voilà !

Modifié le 29 décembre 2009 par maxibestof

[Apollo]

Explorer 6 = danger!

 

Installe Explorer 8 , beaucoup plus sécurisé qu'IE6 ou IE7, même si Firefox ou un autre navigateur est utilisé.

 

Après installation d'IE8:

 

Pour éviter des problèmes de compatibilité de certains sites web avec IE8, cliquer sur "Page" au-dessus de la page web puis sur Paramètres d'affichage de compatibilité.

 

Cocher la case "Afficher tous les sites web dans Affichage de compatibilité". Fermer.

 

----------------

Fais ces vérifications de mises à jour d'applications: http://theknitter-apollo.xooit.com/p17644.htm

 

-----------

 

Désactive puis réactive la restauration du système pour éviter de remonter un point infecté:

 

XP: Désactiver la Restauration Système.

 

Démarrer/Tous les programmes/Accessoires/Outils Système/

 

Cliquer sur Restauration Système.

 

Cliquer sur "Paramètres de la restauration du système; cocher la case: "Désactiver la Restauration du système sur tous les lecteurs"

Appliquer/OK.

 

Pour réactiver la Restauration système, suivre le même chemin et décocher la case. Appliquer/OK.

 

Vista: désactiver la restauration du sytème

 

-----------------------

Enfin, il serait cool que tu déclares ton infection sur Malware Complaints. Qu'est ce que Malware Complaints

Pour faire entendre notre voix, nous devons être le plus nombreux possible à témoigner.

 

• Voir les règles de Malware-Complaints : http://www.malwarecomplaints.info/phpBB3/viewtopic.php?t=5
   
  
• Enregistre toi sur le forum à partir du bouton register en haut :
   
  
• Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, etc..) :
  Exemple pour la France: http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10
   
  Belgique:
  http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=35
   
  Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas quelle infection tu as eu, crée un message dans le sujet "Autres infections" conforme aux règles du forum (age, ville, département etc..) (Dans ton cas, il s'agit d'une infection Malware Defense.
   
  
• Pour poster un message, clique sur le bouton "post reply" et saisis les informations.
  NE PAS CREER UN NOUVEAU SUJET avec le bouton New Topic.
   
  NB: Si tu as de la difficulté pour l'inscription sur Malware Complaints, tout est expliqué ICI
  

 

Si tu n'as plus de soucis, tu pourras éditer ton premier post pour ajouter [résolu] au titre initial.

 

@++