Problème étrange : mon PC est probablement infecté

lyrco · le 22 juillet 2006

Bonjour à tous

je viens de découvrir ce site et c'est vraiment sympa d'apporter de l'aide à des débutants.

Voilà mon problème,

suite à des téléchargements, j'ai récupéré des spy ainsi que des trojans.

Ce qui m'arrive est étrange car lorsque j'ai une seule session de connecter, je n'ai pas de problèmes excepté l'apparition à l'écran de publicité de spywares etc..

Lorsque je connecte la deuxième session, je ne peux pas lancer l'internet explorer ou l'explorateur windows, la corbeille etc ( les icones du bureau disparaissent ainsi que la barre de tache puis réapparaissent lorsque je lance ces applications), de plus si je me remets sur la première session, je ne plus utiliser internet explorer, explorateur (le même phénomène se produit)

Par contre,les applications comme Winamp,Excel,Word etc.. se lancent sans problème sur les 2 sessions.

J'ai utilisé Ad-Aware,CC Cleaner,spybot,norton 2006 mais le problème persiste

j'ai donc suivi la procédure pré nettoyage d'un PC infécté est voilà le résultat

Logfile of HijackThis v1.99.1

Scan saved at 15:34:12, on 22/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Acer\Acer eConsole\MediaServerService.exe

C:\WINDOWS\system32\FreezeScreenSaver.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Acer\Acer eMode Management\AspireService.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\WINDOWS\VM303_STI.EXE

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\WANADOO\SEARCH~1.DLL

R3 - URLSearchHook: (no name) - <default> - (no file)

R3 - URLSearchHook: (no name) - {40827935-BB86-E20E-A04A-9A2B22C08B97} - (no file)

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Program Files\eBay\eBay Toolbar2\eBayTB.dll

O3 - Toolbar: Barre d'outils MSN Search - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll

O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [ntiMUI] c:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe

O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe

O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"

O4 - HKLM\..\Run: [bigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [eBayToolbar] C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &eBay Search - res://C:\Program Files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1105\fr-fr\msntb.dll/search.htm

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ouvrir dans un nouvel onglet d'arrière-plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/229?10e936e3e8f84f2392d6d82063152d55

O8 - Extra context menu item: Ouvrir dans un nouvel onglet de premier plan - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0000.1105\fr-fr\msntabres.dll/230?10e936e3e8f84f2392d6d82063152d55

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra 'Tools' menuitem: Messager Wanadoo - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\WANADO~1\Wanadoo Messager.exe

O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU)

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/f7d832f8b5...e172efae_35.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {084DAC27-6FA3-4F55-9005-033F2F102F5C} (ITPPDiagIE Class) - http://data.jeuxclassiques.com/npwwg.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1153326480359

O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - http://www.sexequalite.com/39220/StarsAmatrik.exe

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)

O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: FreezeScreenSaver - Unknown owner - C:\WINDOWS\system32\FreezeScreenSaver.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe

O23 - Service: SPBBCSvc - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Service de lancement de WlanCfg (Wlancfg) - Inventel - C:\Program Files\Inventel\Gateway\wlancfg.exe

Merci d'avance pour le temps consacré et l'aide apportée

Malekal_morte · le 22 juillet 2006

Bonjour,

-- Télécharge SmitfraudFix

-- Fais un clic droit puis Extraire tout sur le fichier SmitfraudFix.zip, cela va tout décompresser dans un nouveau dossier SmitFraudfix

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 1 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier

-- Copie/colle le contenu du rapport ici

ET

- Télécharge chercher.zip sur ton bureau

- Ne double-clic pas dessus !! Fais un clic droit sur le fichier et extraire tout

- Un nouveau dossier chercher va être créé

- Ouvre le et double-clic sur chercher.cmd

- Une fenêtre va s'ouvrir, laisse la ouverte et appuie sur une touche quand on te le demande

- Copie/colle le contenu du bloc-note qui s'ouvre, pour cela :

-- Dans le bloc-note, cliquez sur le menu Edition / Selectionner tout

-- A nouveau menu Edition / copier

-- Dans un nouveau message ici, faire un clic droit / coller

lyrco · le 22 juillet 2006

Tout d'abord merci de me répondre et voici ce que tu m'as demandé

SmitFraudFix v2.74

Rapport fait à 19:20:11,71, 22/07/2006

Executé à partir de C:\Program Files\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\components\flx?.dll PRESENT !

C:\WINDOWS\system32\components\flx??.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\STEPH\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\STEPH\Favoris

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

C:\WINDOWS\System32\gfhkj.ini2 -->22/07/2006 19:23:02

C:\WINDOWS\System32\idroftjb.exe -->22/07/2006 17:32:52

C:\WINDOWS\System32\gfhkj.bak2 -->22/07/2006 17:32:50

C:\WINDOWS\System32\eRLog.ini -->22/07/2006 17:31:24

C:\WINDOWS\System32\wpa.dbl -->22/07/2006 17:31:14

C:\WINDOWS\System32\nvapps.xml -->22/07/2006 17:30:50

C:\WINDOWS\System32\jieywsad.exe -->22/07/2006 17:28:56

C:\WINDOWS\System32\mcrh.tmp -->22/07/2006 17:28:00

C:\WINDOWS\System32\hiflcwfi.exe -->22/07/2006 17:27:12

C:\WINDOWS\System32\hqqxidgd.exe -->22/07/2006 15:41:04

C:\WINDOWS\System32\gmskftox.exe -->22/07/2006 15:24:20

C:\WINDOWS\System32\ikhcore.log -->20/07/2006 21:44:30

C:\WINDOWS\System32\PerfStringBackup.INI -->19/07/2006 18:31:42

C:\WINDOWS\System32\perfh00C.dat -->19/07/2006 18:31:42

C:\WINDOWS\System32\perfc00C.dat -->19/07/2006 18:31:42

C:\WINDOWS\System32\perfh009.dat -->19/07/2006 18:31:42

C:\WINDOWS\System32\perfc009.dat -->19/07/2006 18:31:42

C:\WINDOWS\System32\gfhkj.ini -->17/07/2006 21:29:08

C:\WINDOWS\System32\gfhkj.tmp -->17/07/2006 21:01:36

C:\WINDOWS\System32\LuResult.txt -->17/07/2006 20:39:46

C:\WINDOWS\System32\wnsapisv.exe -->16/07/2006 12:30:12

C:\WINDOWS\System32\gfhkj.bak1 -->15/07/2006 20:58:06

C:\WINDOWS\System32\jkhfg.dll -->15/07/2006 20:57:34

C:\WINDOWS\System32\MRT.exe -->07/07/2006 03:21:46

C:\WINDOWS\System32\WgaLogon.dll -->19/06/2006 16:20:42

C:\WINDOWS\EPISMF00.SWB -->22/07/2006 19:12:10

C:\WINDOWS\dp2_log.txt -->22/07/2006 18:20:58

C:\WINDOWS\wiadebug.log -->22/07/2006 17:30:38

C:\WINDOWS\bootstat.dat -->22/07/2006 17:30:16

C:\WINDOWS\WindowsUpdate.log -->22/07/2006 17:29:18

C:\WINDOWS\SchedLgU.Txt -->22/07/2006 17:29:16

C:\WINDOWS\wiaservc.log -->22/07/2006 17:29:16

C:\WINDOWS\win.ini -->19/07/2006 18:22:42

C:\WINDOWS\system.ini -->19/07/2006 18:22:42

C:\WINDOWS\Alcohol_Toolbar_Uninstaller_4781.exe -->15/07/2006 17:57:40

C:\WINDOWS\CoD.INI -->14/07/2006 10:22:12

C:\WINDOWS\CDMKR32.INI -->13/07/2006 21:03:26

C:\WINDOWS\iun506.exe -->04/07/2006 23:15:14

C:\WINDOWS\winamp.ini -->18/05/2006 22:07:26

C:\WINDOWS\wininit.ini -->30/04/2006 18:23:22

Le volume dans le lecteur C s'appelle STEPH & ISA

Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Program Files

16/12/2005 13:50 <REP> .

16/12/2005 13:50 <REP> ..

23/01/2005 11:52 <REP> Fichiers communs

23/01/2005 11:55 <REP> Windows NT

23/01/2005 11:55 <REP> MSN

23/01/2005 11:55 <REP> MSN Gaming Zone

23/01/2005 11:55 <REP> Messenger

23/01/2005 11:55 <REP> Windows Media Player

23/01/2005 11:55 <REP> Online Services

23/01/2005 11:56 <REP> ComPlus Applications

23/01/2005 11:56 <REP> Internet Explorer

23/01/2005 11:56 <REP> Outlook Express

23/01/2005 11:56 <REP> NetMeeting

23/01/2005 11:56 <REP> Movie Maker

23/01/2005 11:57 <REP> Services en ligne

23/01/2005 11:58 <REP> microsoft frontpage

23/01/2005 11:58 <REP> xerox

30/04/2006 20:25 990ÿ208 awent40.exe

30/04/2006 20:38 <REP> WinZip

30/04/2006 22:05 <REP> K-Lite Codec Pack

23/01/2005 12:10 <REP> Adobe

23/01/2005 12:11 <REP> NewTech Infosystems

23/01/2005 12:13 <REP> CyberLink

23/01/2005 12:13 <REP> Symantec

23/01/2005 12:14 <REP> Norton AntiVirus

23/01/2005 12:16 <REP> AMD

10/02/2006 12:24 <REP> Java

10/02/2006 12:26 <REP> Acer

10/02/2006 13:12 <REP> Inventel

10/02/2006 15:23 <REP> Wanadoo

17/03/2006 13:55 <REP> Wanadoo Messager

30/04/2006 23:21 <REP> Realtek AC97

22/07/2006 19:17 382ÿ938 SmitfraudFix.zip

25/03/2006 00:17 <REP> eBay

02/04/2006 10:47 <REP> MSN Toolbar Suite

18/03/2006 14:28 <REP> filesubmit

18/03/2006 14:28 <REP> _ArcadeDownloadFolder

19/07/2006 18:47 <REP> Lavasoft

04/04/2006 20:59 <REP> InstantTouch

06/04/2006 12:56 <REP> LG Electronics

06/04/2006 12:13 <REP> LG PC Suite

07/04/2006 23:40 <REP> VideoLAN

25/05/2006 21:53 <REP> Minilyrics

12/02/2006 13:03 <REP> EPSON

04/07/2006 23:12 <REP> WinRAR

12/02/2006 13:27 <REP> ABBYY FineReader 6.0 Sprint

15/07/2006 17:57 <REP> Alcohol Soft

20/07/2006 19:26 <REP> CCleaner

04/07/2006 23:15 <REP> Activision Value

15/07/2006 17:57 <REP> Alcohol Toolbar

22/07/2006 11:50 <REP> Spybot - Search & Destroy

17/07/2006 19:30 34ÿ465ÿ804 NAV061220FR.exe

18/07/2006 20:43 <REP> Le Mystere de la Momie Demo

22/07/2006 15:25 <REP> Hijackthis

22/07/2006 19:18 <REP> SmitfraudFix

12/02/2006 17:42 <REP> Livecom

14/02/2006 14:17 <REP> Yahoo!

18/02/2006 10:48 <REP> Microsoft Office

18/02/2006 10:58 <REP> DVD Shrink

18/02/2006 11:09 <REP> Winamp

18/02/2006 11:12 <REP> eMule

01/03/2006 20:12 54 delir.gio

28/02/2006 14:18 <REP> WinLemm

03/03/2006 12:22 <REP> MSN Messenger

03/03/2006 12:22 <REP> MSN Apps

05/03/2006 22:44 <REP> Google

05/03/2006 22:45 774ÿ144 RngInterstitial.dll

10/03/2006 16:29 <REP> Freeze.com

14/03/2006 10:53 <REP> Vimicro

14/03/2006 15:26 <REP> EvilLyrics

5 fichier(s) 36ÿ613ÿ148 octets

65 R‚p(s) 12ÿ153ÿ913ÿ344 octets libres

Le volume dans le lecteur C s'appelle STEPH & ISA

Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\Program Files\fichiers communs

16/12/2005 13:50 <REP> .

16/12/2005 13:50 <REP> ..

23/01/2005 11:52 <REP> Microsoft Shared

23/01/2005 11:52 <REP> SpeechEngines

23/01/2005 11:52 <REP> ODBC

23/01/2005 11:56 <REP> System

23/01/2005 11:56 <REP> MSSoap

23/01/2005 11:56 <REP> Services

23/01/2005 12:05 <REP> InstallShield

23/01/2005 12:10 <REP> Adobe

23/01/2005 12:11 <REP> NewTech Infosystems

23/01/2005 12:12 <REP> muvee Technologies

23/01/2005 12:13 <REP> Symantec Shared

10/02/2006 12:24 <REP> Java

10/02/2006 12:25 <REP> ArcSoft

17/03/2006 13:47 278ÿ528 FDEUnInstaller.exe

15/07/2006 20:52 <REP> {320D180E-08A2-1036-1028-050914050021}

18/02/2006 10:49 <REP> Designer

05/03/2006 22:44 <REP> Real

18/03/2006 14:28 <REP> NSV

14/04/2006 19:46 <REP> Ahead

1 fichier(s) 278ÿ528 octets

20 R‚p(s) 12ÿ153ÿ946ÿ112 octets libres

Le volume dans le lecteur C s'appelle STEPH & ISA

Le num‚ro de s‚rie du volume est 320D-180E

R‚pertoire de C:\

17/03/1997 02:07 275ÿ968 Awecp32.exe

22/04/1998 01:00 24ÿ576 Updpnpnt.exe

2 fichier(s) 300ÿ544 octets

0 R‚p(s) 12ÿ153ÿ946ÿ112 octets libres

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\27670DD0.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\35880211.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\37347E3A.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\373E7C30.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\46EE36EB.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\470806CF.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\471958BD.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\486C6747.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\48701143.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6F021C3C.exe

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6FCB60CF.EXE

c:\Documents and Settings\STEPH\Mes documents\winamp513_full.exe

c:\Documents and Settings\STEPH\Mes documents\Mes images\ICONES\Curseur XP\AniUtil.exe

c:\Documents and Settings\STEPH\Mes documents\Mes images\ICONES\Curseur XP\cursorxp_free.exe

c:\Documents and Settings\STEPH\Mes documents\Mes images\ICONES\Curseur XP\CurXPCpl.exe

c:\Documents and Settings\STEPH\Mes documents\Mes images\ICONES\Curseur XP\CurXPUtil.exe

c:\Documents and Settings\STEPH\Mes documents\Mes images\SCREENSAVER\Steelers2005.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\alcchkid.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\alcrmv.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\alcrmv64.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\alcrmv9x.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\alcupd.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\AlcUpd64.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\ALCXDEV.EXE

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\ChCfg.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\GETDXVER.EXE

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\SetCDfmt.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\setup.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\alcrmv.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\alcrmv64.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\ChCfg.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\CPLUtl64.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\RTLCPL.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\WDM_A386[1]\WDM_A386\WDM\SoundMan.exe

c:\Documents and Settings\STEPH\Mes documents\Unzipped\hijackthis[1]\HijackThis.exe

c:\Documents and Settings\STEPH\Mes documents\F?nts\?srss.exe

c:\Documents and Settings\STEPH\Bureau\chercher\LFiles.exe

c:\Documents and Settings\STEPH\Application Data\MSNInstaller\msnauins.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temp\msnsearch.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temp\TFR26.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temp\Wise~tmp.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temp\__ArcadeDownloadFoler__demolitionderbyandfigure8race_FR_rf\RealOneArcadeBundle.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temp\FWSetup\Install.exe

c:\Documents and Settings\ISABELLE\Local Settings\Temporary Internet Files\Content.IE5\GHK34VC7\WinAntiVirusPro2006FreeInstall_fr[1].exe

c:\Documents and Settings\ISABELLE\Mes documents\Mes images\incredimail_install.exe

c:\Documents and Settings\ISABELLE\Mes documents\Mes images\Install_MSN_Messenger.EXE

c:\Documents and Settings\ISABELLE\Mes documents\Mes images\magicballs.exe

c:\Documents and Settings\ISABELLE\Mes documents\Mes images\SweetImSetup.exe

c:\Documents and Settings\ISABELLE\Mes documents\Jeux\chillon.exe

c:\Documents and Settings\ISABELLE\Mes documents\Jeux\snake.exe

c:\Documents and Settings\ISABELLE\Mes documents\Jeux\PacManiac\PacManiac.exe

c:\Documents and Settings\ISABELLE\Bureau\Lemmings Revolution.exe

c:\Documents and Settings\ISABELLE\Bureau\isacarrefour\psa30se_fr_fr.exe

c:\Documents and Settings\ISABELLE\Bureau\isacarrefour\ytb612_efgsip.exe

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\14790073.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\364F0336.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\39D12907.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\46DB3B01.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\46F50AE4.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\470F5AC8.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\48806331.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\4886372A.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\6FD55EC5.dll

c:\Documents and Settings\All Users\Application Data\Symantec\Norton AntiVirus\Quarantine\7BD17344.DLL

c:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll

c:\Documents and Settings\ISABELLE\Application Data\Microsoft\IdentityCRL\ppcrlconfig.dll

Vérifications de quelques clefs

Recherche de clefs EGDACCESS

HKLM\SOFTWARE\Microsoft\Windows\explorer\SharedTaskScheduler

Malekal_morte · le 22 juillet 2006

Voici la manipulation à effectuer en entier

Si certains éléments ne sont pas trouvés, merci de le signaler mais de poursuivre les manipulations jusqu'au bout.

Sur HijackThis, refais un scan et coches les lignes suivantes :

R3 - URLSearchHook: (no name) - <default> - (no file)

R3 - URLSearchHook: (no name) - {40827935-BB86-E20E-A04A-9A2B22C08B97} - (no file)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - AppInit_DLLs: C:\WINDOWS\system32\wowexec.dll

O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)

---> puis clic sur le bouton "Fix Checked"

n'hésite pas à consulter l'aide HijackThis

- Télécharge et installe ewido

- Mets le à jour à partir du menu update en haut, n'hésite pas à consulter l'Aide ewido pour tout problème.

- Télécharge clean.zip, décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.

-- Redémarre en mode en mode sans échec, si tu sais pas comment on fait lis ceci

-- Ouvre le dossier clean qui se trouve sur ton bureau, et double-clic sur clean.cmd, une fenêtre noire va apparaître pendant un instant, laisse la ouverte.

Ouvre le poste de travail pour naviguer dans tes dossiers et supprime :

C:\WINDOWS\System32\hiflcwfi.exe

C:\WINDOWS\System32\hqqxidgd.exe

C:\WINDOWS\System32\gmskftox.exe

C:\WINDOWS\System32\jieywsad.exe

-- Ouvre le dossier SmitfraudFix double clic sur SmitfraudFix.cmd (ne

clique sur aucun autre fichier!!!)

-- Choisis l'option 2 et appuie sur Entrée

-- Réponds o (Oui) aux deux questions suivantes si elles sont posées

-- Un rapport sera généré sauvegarde le dans un dossier,

- Ouvre ewido et clic sur l'onglet Scanner en haut

- Démarre ewido et clique "Complete System Scan"

** Si un fichier est infecté, choisis l'option " Apply All Actions " en fin d'analyse **

Clique sur " Save Report " puis sur " Save Report As "

Enregistre ce fichier texte sur ton bureau.

N'hésite pas à consulter l'Aide ewido pour tout problème.

-- Redémarre en mode normal : Menu Démarrer / Arreter / Redémarre l'ordinateur

Attention : dans le cas où l'ordinateur redémarre en boucle en mode sans échec, faire la manipulation inverse en décochant l'option /SAFEBOOT à l'aide de msconfig : voir à nouveau cette page : cliquez-ici

Télécharge Vundoxfix - mirror si le lien ne fonctionne pas : http://www.softpedia.com/get/Antivirus/VundoFix.shtml

- Double-clique VundoFix.exe afin de le lancer.

- Coche Run VundoFix as a task.

- Un message t'avertira que l'outil va se fermer et s'ouvrir à nouveau : clique Ok

- Clique sur le bouton Scan for Vundo.

- Lorsque le scan est complété, clique sur le bouton Remove Vundo.

- Une invite te demandera si tu veux supprimer les fichiers, clique YES

- Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.

- Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown") ; clique OK

- Démarre ton PC à nouveau.

- Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine et le rapport ewido.

Modifié le 22 juillet 2006 par Malekal_morte

lyrco · le 22 juillet 2006

Je pense n'avoir rien oublié

Logfile of HijackThis v1.99.1

Scan saved at 21:34:13, on 22/07/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Acer\Acer eConsole\MediaServerService.exe

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\FreezeScreenSaver.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\System32\snmp.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Inventel\Gateway\wlancfg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Acer\Acer eMode Management\AspireService.exe

C:\Acer\Empowering Technology\eRecovery\Monitor.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE

C:\WINDOWS\VM303_STI.EXE

C:\Program Files\eBay\eBay Toolbar2\eBayTBDaemon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\NOTEPAD.EXE