Se connecter / S'enregistrer
Votre question

Trojan.FakeAV.GR

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Avril 2009 17:52:24

Bonjour,
mon ordinateur ou plutôt celui de mon beau père est infecté par un cheval de Troie de type fakeav.gr.
Je précise que ce virus à été découvert suite à un scan de son antivirus( Avast).
Pour les symptômes je ne m'en rappel plus mais je peut toujours lui demander (à mon beau père ) si cela s'avère nécessaire.
Merci de prendre le temps de lire mon sujet et de m'aider si cela est possible.

Autres pages sur : trojan fakeav

a c 612 8 Sécurité
28 Avril 2009 20:00:04

Bonsoir Bauer45,

Je vais te prendre en main,
Cependant je suis en formation, et mes réponses devront être validées par mes formateurs, il se peut donc qu'il y ai un certain temps d'attente lors de nos échanges.

Merci par avance pour ta patiente.

[:_tom_:7]
a c 612 8 Sécurité
28 Avril 2009 21:52:53

;)  Re,

-> Peux-tu nous donner les fichiers (et leurs emplacements) détectés par Avast! ?
Tu trouveras ces infos dans le/les rapports de détection

-> Quels sont les symptômes rencontré mis à part cette alerte ?

Merci de faire ceci :
Télécharge DDS de sUBs sur ton bureau.
L'outil ne nécessite pas d'installation.

Lance-le en cliquant sur l'icône dds.scr

Cette fenêtre DOS va apparaitre


  • Le scan ne doit pas dépasser trois minutes.
  • Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
  • Il te sera demandé si tu veux faire le scan optionnel.
  • Accepte par Oui
  • Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
  • Tu ne le fourniras que si nécessaire.
  • Poste le rapport DDS.txt
    29 Avril 2009 21:48:26

    Bonsoir hyunkel30,

    tout d'abord merci pour ta réponse assez rapide et désolé pour le laps de temps entre mes réponses.

    En ce qui concerne Avast, pas de trace du rapport de détection (au dire de la personne concernée).

    Les symptômes sont les suivants: petites musiques qui se déclenchent, ouverture de fenêtres etc...

    Voici le fichier dds.txt demandé:


    DDS (Ver_09-03-16.01) - NTFSx86
    Run by DANIEL at 21:16:25,34 on 29/04/2009
    Internet Explorer: 7.0.5730.11
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.99 [GMT 2:00]


    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Lexmark P910 Series\lxbymon.exe
    C:\Program Files\Lexmark P910 Series\ezprint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ZoomText 9.1\ZT.exe
    C:\WINDOWS\system32\rundll32.exe
    svchost.exe
    C:\WINDOWS\vlc.exe
    C:\WINDOWS\svx.exe
    C:\WINDOWS\wdmon.exe
    C:\WINDOWS\svw.exe
    C:\WINDOWS\svc.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\Program Files\IncrediMail\bin\IMApp.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\system32\lxbycoms.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\WINDOWS\odb.exe
    C:\Documents and Settings\DANIEL\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://french.icrfast.com/index.php?rvs=hompag
    uWindow Title = Packard Bell
    uSearch Bar = hxxp://format.packardbell.com/cgi-bin/redirect/?country=FR&range=AD&phase=6&key=SEARCH
    uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
    mWinlogon: Userinit=userinit.exe,c:\windows\system32\ntos.exe,
    BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
    BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
    BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
    BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
    BHO: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
    BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
    BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    BHO: 1 (0x1) - No File
    TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
    TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    TB: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
    TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
    TB: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
    EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
    uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
    uRun: [UpdateWin] c:\windows\system32\activedsn.exe
    uRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
    mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
    mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
    mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
    mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
    mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
    mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
    mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
    mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
    mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
    mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
    mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
    mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
    mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
    mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
    mRun: [Bdikona] rundll32.exe "c:\windows\Ryufuwamohey.dll",e
    mRun: [UpdateWin] c:\windows\system32\activedsn.exe
    mRun: [odb] c:\windows\odb.exe
    mRun: [vlc] c:\windows\vlc.exe
    mRun: [netx] c:\windows\svx.exe
    mRun: [wdmon] c:\windows\wdmon.exe
    mRun: [netw] c:\windows\svw.exe
    mRun: [netc] c:\windows\svc.exe
    mRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    dRun: [userinit] c:\windows\system32\ntos.exe
    StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
    uPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
    uPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
    mPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
    mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)
    mPolicies-system: DisableTaskMgr = 1 (0x1)
    mPolicies-system: DisableRegistryTools = 1 (0x1)
    IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
    IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
    IE: {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
    IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
    DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
    DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
    DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
    DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
    DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
    DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne-beta.jeu.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - file:///C:/Documents%20and%20Settings/CHRISTINE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v6.cab
    DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
    TCP: NameServer = 85.255.116.44 85.255.112.215
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
    STS: IPC Configuration Utility - No File
    STS: {020487CC-FC04-4B1E-863F-D9801796230B} - No File

    ============= SERVICES / DRIVERS ===============

    R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
    S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
    S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

    =============== Created Last 30 ================

    2009-04-15 08:00 473,088 -------- c:\windows\system32\dllcache\fastprox.dll
    2009-04-15 08:00 399,360 -------- c:\windows\system32\dllcache\rpcss.dll
    2009-04-15 08:00 286,208 -------- c:\windows\system32\dllcache\pdh.dll
    2009-04-15 08:00 227,840 -------- c:\windows\system32\dllcache\wmiprvse.exe
    2009-04-15 08:00 60,416 -------- c:\windows\system32\dllcache\colbact.dll
    2009-04-15 08:00 35,328 -------- c:\windows\system32\dllcache\sc.exe
    2009-04-15 08:00 685,056 -------- c:\windows\system32\dllcache\advapi32.dll
    2009-04-15 08:00 453,120 -------- c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-15 08:00 111,104 -------- c:\windows\system32\dllcache\services.exe
    2009-04-15 08:00 739,840 -------- c:\windows\system32\dllcache\ntdll.dll
    2009-04-15 07:59 219,136 -------- c:\windows\system32\dllcache\wordpad.exe
    2009-04-15 07:56 351,232 -------- c:\windows\system32\dllcache\winhttp.dll

    ==================== Find3M ====================

    2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
    2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
    2009-03-21 16:20 1,051,136 -------- c:\windows\system32\dllcache\kernel32.dll
    2009-03-14 20:02 102,664 a------- c:\windows\system32\drivers\tmcomm.sys
    2009-03-10 17:49 232,448 a------- c:\windows\svc.exe
    2009-03-10 17:49 232,960 a------- c:\windows\svw.exe
    2009-03-10 17:49 232,960 a------- c:\windows\svx.exe
    2009-03-10 17:49 232,960 a------- c:\windows\wdmon.exe
    2009-03-10 17:49 232,960 a------- c:\windows\vlc.exe
    2009-03-06 16:46 286,208 a------- c:\windows\system32\pdh.dll
    2009-03-05 18:08 38,912 a------- c:\windows\Ryufuwamohey.dll
    2009-03-05 18:08 40,960 ---shr-- c:\windows\system32\activedsn.exe
    2009-03-05 18:08 232,960 a------- c:\windows\odb.exe
    2009-03-03 02:13 826,368 a------- c:\windows\system32\wininet.dll
    2009-03-03 02:13 826,368 a------- c:\windows\system32\dllcache\wininet.dll
    2009-02-28 06:54 636,072 -------- c:\windows\system32\dllcache\iexplore.exe
    2009-02-20 12:20 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
    2009-02-20 12:20 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
    2009-02-20 07:14 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
    2009-02-09 16:17 1,846,400 a------- c:\windows\system32\win32k.sys
    2009-02-09 16:17 1,846,400 -------- c:\windows\system32\dllcache\win32k.sys
    2009-02-09 13:50 2,017,792 -------- c:\windows\system32\dllcache\ntkrpamp.exe
    2009-02-09 13:50 2,059,776 a------- c:\windows\system32\ntkrnlpa.exe
    2009-02-09 13:50 2,059,776 -------- c:\windows\system32\dllcache\ntkrnlpa.exe
    2009-02-09 13:50 2,182,528 a------- c:\windows\system32\ntoskrnl.exe
    2009-02-09 13:50 2,182,528 -------- c:\windows\system32\dllcache\ntoskrnl.exe
    2009-02-09 13:50 2,138,112 -------- c:\windows\system32\dllcache\ntkrnlmp.exe
    2009-02-09 12:20 730,112 a------- c:\windows\system32\lsasrv.dll
    2009-02-09 12:20 730,112 -------- c:\windows\system32\dllcache\lsasrv.dll
    2009-02-09 12:20 685,056 a------- c:\windows\system32\advapi32.dll
    2009-02-09 12:20 399,360 a------- c:\windows\system32\rpcss.dll
    2009-02-09 12:20 739,840 a------- c:\windows\system32\ntdll.dll
    2009-02-09 12:08 111,104 a------- c:\windows\system32\services.exe
    2009-02-06 18:54 35,328 a------- c:\windows\system32\sc.exe
    2009-02-03 22:10 55,808 a------- c:\windows\system32\secur32.dll
    2009-02-03 22:10 55,808 -------- c:\windows\system32\dllcache\secur32.dll
    2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

    ============= FINISH: 21:16:49,46 ===============


    Voilà, désolé pour ne pas avoir pu fournir le rapport Avast.
    Merci
    a c 612 8 Sécurité
    2 Mai 2009 11:04:47

    :hello:  Bonjour bauer45,

    Désolé pour l'attente.

    Il y a plusieurs infections, et aucun antivirus ni parefeu installé ...

    Nous allons commencer par ça :

    Télécharge SmitfraudFix (de S!Ri) sur le bureau

  • Lance Smitfraudfix et choisis l'option 1
  • Le rapport se trouve à la racine du disque C:\rapport.txt
  • Poste-le dans ta prochaine réponse

    Une aide à l'utilisation ici

    Si smitfraudfix ne se lance pas, déplace le à la racine de ton disque dur (généralement C: ) et lance le.

    Process est détecté par certains antivirus (Antivir, DrWeb, Kaspersky) comme étant un programme malveillant, ce n'est pas le cas. Si tu as une alerte concernant ce fichier, n'empêche pas process de s'exécuter.

    [:_tom_:7]
    2 Mai 2009 16:55:07

    Bonjour hyunkel30,

    en effet, après vérification le pare-feu (windows) n'était pas activé quant à l'antivirus Avast est bien présent mais fonctionne t' il réellement...
    Bref ce n'est pas le sujet.
    Voici le rapport SmitFraudFix demandé:

    SmitFraudFix v2.414

    Rapport fait à 16:38:17,79, 02/05/2009
    Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Lexmark P910 Series\lxbymon.exe
    C:\Program Files\Lexmark P910 Series\ezprint.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ZoomText 9.1\ZT.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\odb.exe
    C:\WINDOWS\vlc.exe
    C:\WINDOWS\svx.exe
    C:\WINDOWS\wdmon.exe
    C:\WINDOWS\svw.exe
    C:\WINDOWS\svc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\lxbycoms.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\IncrediMail\bin\IMApp.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    A la prochaine pour la suite.

    a c 612 8 Sécurité
    2 Mai 2009 17:44:36

    ;)  Re,

    Le rapport de SmitfraudFix n'est pas complet ...

    Vérifie que tu n'es pas oublié une partie en copiant.


    Sinon, relance-le et attend bien la fin du scan, et l'ouverture du rapport.

    [:_tom_:7]
    4 Mai 2009 17:22:21

    Re, autant pour moi :sarcastic: 

    SmitFraudFix v2.414

    Rapport fait à 16:38:17,79, 02/05/2009
    Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Lexmark P910 Series\lxbymon.exe
    C:\Program Files\Lexmark P910 Series\ezprint.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymSCUI.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ZoomText 9.1\ZT.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\odb.exe
    C:\WINDOWS\vlc.exe
    C:\WINDOWS\svx.exe
    C:\WINDOWS\wdmon.exe
    C:\WINDOWS\svw.exe
    C:\WINDOWS\svc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\lxbycoms.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\IncrediMail\bin\IMApp.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\WINDOWS\system32\cmd.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    »»»»»»»»»»»»»»»»»»»»»»»» C:\


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


    »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DANIEL


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL\LOCALS~1\Temp


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\DANIEL\Application Data


    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


    »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL\Favoris


    »»»»»»»»»»»»»»»»»»»»»»»» Bureau


    »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

    C:\Program Files\HQvideo\ PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"


    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "IPC Configuration Utility"="IPC Configuration Utility"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"



    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "AppInit_DLLs"=""


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="userinit.exe,C:\\WINDOWS\\system32\\ntos.exe,"

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""




    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215


    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


    »»»»»»»»»»»»»»»»»»»»»»»» Fin



    Là il est complet, désolé
    a c 612 8 Sécurité
    6 Mai 2009 19:50:55

    ;)  ok, la suite :

    1) Désinstalle via ajout/suppression de programme (si présent) :
  • Oberon Toolbar/Oberon games/Oberon media/Gamesbar
  • Symantec/Norton/LiveUpdate (reste de l'antivirus Norton)
    -> Utilise ceci pour nettoyer les dernières traces.

    2) Télécharge et installe Hijackthis

    Ne le lance pas pour le moment.

    3) Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    Aide : Comment faire démarrer son ordinateur en mode sans échec.

    4) Lance Hijackthis
    ( Situé ici : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe )

    Clic sur :


    Coche ces lignes (si présentes):

    Citation :

    F2 - REG:system.ini Userinit=userinit.exe,c:\windows\system32\ntos.exe,
    O2 - BHO: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
    O2 - BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
    O3 - Toolbar: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
    O3 - Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
    O3 - Toolbar: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
    O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\Run: [Bdikona] rundll32.exe "c:\windows\Ryufuwamohey.dll",e
    O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\Run: [odb] c:\windows\odb.exe
    O4 - HKLM\..\Run: [vlc] c:\windows\vlc.exe
    O4 - HKLM\..\Run: [netx] c:\windows\svx.exe
    O4 - HKLM\..\Run: [wdmon] c:\windows\wdmon.exe
    O4 - HKLM\..\Run: [netw] c:\windows\svw.exe
    O4 - HKLM\..\Run: [netc] c:\windows\svc.exe
    O4 - HKLM\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\Run: [userinit] c:\windows\system32\ntos.exe
    O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
    O7 - HKCU\...\Explorer: NoActiveDesktopChanges = 1 (0x1)
    O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
    O7 - HKCU\...\Explorer: NoActiveDesktopChanges = 1 (0x1)
    O7 - HKCU\...\System: DisableTaskMgr = 1 (0x1)
    O7 - HKCU\...\System:: DisableRegistryTools = 1 (0x1)
    O12 - PluginIE {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
    O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne-beta.jeu.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
    O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - file:///C: /Documents%20and%20Settings/CHRISTINE/Local%20Settings/Application%20Data/Oberon%20Media/Oberon%20Games%20Host/popcaploader_v6.cab
    017- HKLM\...\Parameters : NameServer = 85.255.116.44 85.255.112.215


    Et clic sur : "Fix checked" en bas

    Valide et ferme.

    5) Affiche les fichiers et dossiers cachés :
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :
  • Coche Afficher les fichiers et dossiers cachés
  • Décoche Masquer les extensions des fichiers dont le type est connu
  • Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    -> Recherche et supprime ces fichiers/dossiers (si présent) :

    Citation :

    C:\Program Files\gamesbar
    C:\Documents and Settings\CHRISTINE\Local Settings\Application Data\Oberon Media
    C:\WINDOWS\vlc.exe
    C:\WINDOWS\svx.exe
    C:\WINDOWS\wdmon.exe
    C:\WINDOWS\svw.exe
    C:\WINDOWS\svc.exe
    c:\windows\odb.exe
    c:\windows\Ryufuwamohey.dll
    c:\windows\system32\activedsn.exe
    c:\windows\system32\ntos.exe


    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation, à présent, c'est important : Des fichiers systèmes sont accessible sous cette option, et une manipulation hasardeuse sur eux peut entaîner un plantage du système.
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :
  • Coche Ne pas afficher les fichiers et dossiers cachés
  • Coche Masquer les extensions des fichiers dont le type est connu
  • Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    6) Relance SmitfraudFix.exe en double cliquant dessus

  • Sélectionne l’option 2 et presse Entrée dans le menu.
  • A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et presse Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question : Corriger le fichier infecté ? répondre O (oui) et presse Entrée pour remplacer le fichier corrompu.
  • Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
  • Le rapport se trouve à la racine du disque C:\rapport.txt. Poste-le dans ta réponse.

    7) Relance DDS
    Poste le nouveau rapport DDS.txt

    8 ) [#FF8000]Télécharge Toolbar-S&D (Team IDN) sur ton bureau.[/#FF80000] (autre lien)

  • Lance l'installation du programme en exécutant le fichier téléchargé.
  • Double-clique maintenant sur le raccourci de Toolbar-S&D.
  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
  • Poste le rapport généré. (C:\TB.txt)

    Dans ta prochaine réponse il me faut donc :
    -> Le rapport option 2 Smitfraudfix
    -> le nouveau rapport DDS
    -> Le rapport Option 1 Toolbar-S&D
    8 Mai 2009 23:45:35

    Bonsoir, voici les rapports demandés:

    rapport (option 2) SmitFraudFix:

    SmitFraudFix v2.414

    Rapport fait à 22:44:18,92, 08/05/2009
    Executé à partir de C:\Documents and Settings\DANIEL\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "IPC Configuration Utility"="IPC Configuration Utility"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"


    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


    »»»»»»»»»»»»»»»»»»»»»»»» hosts


    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.


    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    C:\Program Files\HQvideo\ supprimé

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri



    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri


    »»»»»»»»»»»»»»»»»»»»»»»» RK


    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\..\{C227093C-C300-4A7B-A7F1-CA33E496C8B7}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: NameServer=85.255.116.44 85.255.112.215


    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    "System"=""


    »»»»»»»»»»»»»»»»»»»»»»»» RK.2



    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "IPC Configuration Utility"="IPC Configuration Utility"


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{020487CC-FC04-4B1E-863F-D9801796230B}"="Windows Installer Class"



    »»»»»»»»»»»»»»»»»»»»»»»» Fin


    nouveau rapport DDS:

    DDS (Ver_09-03-16.01) - NTFSx86
    Run by DANIEL at 23:15:19,12 on 08/05/2009
    Internet Explorer: 7.0.5730.11
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.187 [GMT 2:00]


    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    svchost.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\Explorer.EXE
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Lexmark P910 Series\lxbymon.exe
    C:\Program Files\Lexmark P910 Series\ezprint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\ZoomText 9.1\ZT.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\WINDOWS\System32\svchost.exe -k HTTPFilter
    C:\Program Files\IncrediMail\bin\IMApp.exe
    C:\WINDOWS\system32\lxbycoms.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\Documents and Settings\DANIEL\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uWindow Title = Packard Bell
    uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
    BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
    BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
    BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
    BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
    BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    BHO: 1 (0x1) - No File
    TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
    TB: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
    EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
    uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
    uRun: [UpdateWin] c:\windows\system32\activedsn.exe
    uRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
    mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
    mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
    mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
    mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
    mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
    mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
    mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
    mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
    mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
    mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
    mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
    mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
    mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
    mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
    mRun: [UpdateWin] c:\windows\system32\activedsn.exe
    mRunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    dRun: [userinit] c:\windows\system32\ntos.exe
    StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
    uPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
    mPolicies-explorer: NoSetActiveDesktop = 1 (0x1)
    IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
    IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
    IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
    DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
    DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
    DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
    DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
    DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
    DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
    STS: IPC Configuration Utility - No File
    STS: {020487CC-FC04-4B1E-863F-D9801796230B} - No File

    ============= SERVICES / DRIVERS ===============

    R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
    S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
    S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

    =============== Created Last 30 ================

    2009-05-08 23:03 <DIR> --d----- C:\ToolBar SD
    2009-05-08 21:36 <DIR> --d----- c:\program files\Trend Micro
    2009-05-08 21:25 <DIR> --d----- c:\docume~1\alluse~1\applic~1\NortonInstaller
    2009-05-02 16:38 3,724 a------- c:\windows\system32\tmp.reg
    2009-04-15 08:00 473,088 -------- c:\windows\system32\dllcache\fastprox.dll
    2009-04-15 08:00 399,360 -------- c:\windows\system32\dllcache\rpcss.dll
    2009-04-15 08:00 286,208 -------- c:\windows\system32\dllcache\pdh.dll
    2009-04-15 08:00 227,840 -------- c:\windows\system32\dllcache\wmiprvse.exe
    2009-04-15 08:00 60,416 -------- c:\windows\system32\dllcache\colbact.dll
    2009-04-15 08:00 35,328 -------- c:\windows\system32\dllcache\sc.exe
    2009-04-15 08:00 685,056 -------- c:\windows\system32\dllcache\advapi32.dll
    2009-04-15 08:00 453,120 -------- c:\windows\system32\dllcache\wmiprvsd.dll
    2009-04-15 08:00 111,104 -------- c:\windows\system32\dllcache\services.exe
    2009-04-15 08:00 739,840 -------- c:\windows\system32\dllcache\ntdll.dll
    2009-04-15 07:59 219,136 -------- c:\windows\system32\dllcache\wordpad.exe
    2009-04-15 07:56 351,232 -------- c:\windows\system32\dllcache\winhttp.dll

    ==================== Find3M ====================

    2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
    2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
    2009-03-21 16:20 1,051,136 -------- c:\windows\system32\dllcache\kernel32.dll
    2009-03-14 20:02 102,664 a------- c:\windows\system32\drivers\tmcomm.sys
    2009-03-06 16:46 286,208 a------- c:\windows\system32\pdh.dll
    2009-03-05 18:08 40,960 ---shr-- c:\windows\system32\activedsn.exe
    2009-03-03 02:13 826,368 a------- c:\windows\system32\wininet.dll
    2009-03-03 02:13 826,368 a------- c:\windows\system32\dllcache\wininet.dll
    2009-02-28 06:54 636,072 -------- c:\windows\system32\dllcache\iexplore.exe
    2009-02-20 12:20 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
    2009-02-20 12:20 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
    2009-02-20 07:14 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
    2009-02-09 16:17 1,846,400 a------- c:\windows\system32\win32k.sys
    2009-02-09 16:17 1,846,400 -------- c:\windows\system32\dllcache\win32k.sys
    2009-02-09 13:50 2,017,792 -------- c:\windows\system32\dllcache\ntkrpamp.exe
    2009-02-09 13:50 2,059,776 a------- c:\windows\system32\ntkrnlpa.exe
    2009-02-09 13:50 2,059,776 -------- c:\windows\system32\dllcache\ntkrnlpa.exe
    2009-02-09 13:50 2,182,528 a------- c:\windows\system32\ntoskrnl.exe
    2009-02-09 13:50 2,182,528 -------- c:\windows\system32\dllcache\ntoskrnl.exe
    2009-02-09 13:50 2,138,112 -------- c:\windows\system32\dllcache\ntkrnlmp.exe
    2009-02-09 12:20 730,112 a------- c:\windows\system32\lsasrv.dll
    2009-02-09 12:20 730,112 -------- c:\windows\system32\dllcache\lsasrv.dll
    2009-02-09 12:20 685,056 a------- c:\windows\system32\advapi32.dll
    2009-02-09 12:20 399,360 a------- c:\windows\system32\rpcss.dll
    2009-02-09 12:20 739,840 a------- c:\windows\system32\ntdll.dll
    2009-02-09 12:08 111,104 a------- c:\windows\system32\services.exe
    2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

    ============= FINISH: 23:15:26,48 ===============


    rapport (option 1) Toolbar-S&D:

    -----------\\ ToolBar S&D 1.2.8 XP/Vista

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Uniprocessor Free : AMD Athlon(tm) 64 Processor 3000+ )
    BIOS : Award Medallion BIOS v6.00PG
    USER : DANIEL ( Administrator )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:143 Go (Free:112 Go)
    D:\ (CD or DVD)
    E:\ (USB)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)
    K:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
    Option : [1] ( 08/05/2009|23:04 )

    -----------\\ Recherche de Fichiers / Dossiers ...


    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\windows\\system32\\blank.htm"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&..."
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&..."
    "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
    "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese..."
    "Local Page"="C:\\windows\\system32\\blank.htm"
    "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


    --------------------\\ Recherche d'autres infections

    --------------------\\ ROGUES ..

    C:\DOCUME~1\CHRIST~1\APPLIC~1\VirusRemover2009
    C:\DOCUME~1\DANIEL\APPLIC~1\VirusRemover2009




    1 - "C:\ToolBar SD\TB_1.txt" - 08/05/2009|23:06 - Option : [1]

    -----------\\ Fin du rapport a 23:06:48,14






    a c 612 8 Sécurité
    10 Mai 2009 18:06:42

    ;)  Re,

    Tu avais bien "fixer" toutes les lignes et supprimé les fichier ?

    On continu :

    1)Télécharge SDFix (de AndyManchesta).

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.

    2) Redémarre en Mode Sans Echec :
    - Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
    -- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    --- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    ---- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

    3) Lance Hijackthis
    ( Situé ici : C:\Program Files\Trend Micro\HijackThis\HijackThis.exe )

    Clic sur :


    Coche ces lignes (si présentes):

    Citation :

    O3 - Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
    O3 - Toolbar: {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} - No File
    O4 - HKCU\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKCU\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\Run: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\..\RunServices: [UpdateWin] c:\windows\system32\activedsn.exe
    O4 - HKLM\...\Run: [userinit] c:\windows\system32\ntos.exe
    O7 - HKCU\...\Explorer: NoSetActiveDesktop = 1 (0x1)
    O7 - HKLM\...\Explorer: NoSetActiveDesktop = 1 (0x1)
    O22 - SharedTaskScheduler: IPC Configuration Utility - No File
    O22 - SharedTaskScheduler: (no name) {020487CC-FC04-4B1E-863F-D9801796230B} - No File


    Et clic sur : "Fix checked" en bas

    Valide et ferme

    4) Affiche les fichiers et dossiers cachés :
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :
  • Coche Afficher les fichiers et dossiers cachés
  • Décoche Masquer les extensions des fichiers dont le type est connu
  • Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    -> Recherche et supprime ces fichiers/dossiers (si présent) :

    Citation :

    C:\Documents and Settings\CHRISTINE\Application Data\VirusRemover2009
    C:\Documents and Settings\DANIEL\Application Data\VirusRemover2009
    c:\windows\system32\activedsn.exe
    c:\windows\system32\ntos.exe
    c:\windows\system32\tmp.reg


    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation, à présent, c'est important : Des fichiers systèmes sont accessible sous cette option, et une manipulation hasardeuse sur eux peut entaîner un plantage du système.
    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage :
  • Coche Ne pas afficher les fichiers et dossiers cachés
  • Coche Masquer les extensions des fichiers dont le type est connu
  • Coche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    5) Lance SDFix, pour cela :
  • Ouvre le dossier SDFix qui a été créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension .bat peut ne pas apparaitre)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer, fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.

    Il se trouve également dans le dossier SDFix : >Report.txt<

    Note : Si SDFix ne se lance pas (ça arrive!)

    * Démarrer->Exécuter
    * Copie/colle ceci:
    %systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

    * Clique sur ok, et valide.
    * Redémarre et essaye de nouveau de lancer SDFix.
    a c 612 8 Sécurité
    18 Mai 2009 16:44:01

    Up,

    Encore là bauer ?
    [:_tom_:7]
    18 Mai 2009 21:35:14

    Bonsoir hyunkel,

    Désolé pour le retard ( petit problème technique ...) :( 

    Voiçi le rapport SDFix que tu m'as demandé:

    SDFix: Version 1.240
    Run by DANIEL on 18/05/2009 at 20:03

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Default Security Values
    Restoring Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\Documents and Settings\DANIEL\new.txt - Deleted



    Folder C:\WINDOWS\system32\wsnpoem - Removed


    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-05-18 20:14:37
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
    "s1"=dword:aee86b5a
    "s2"=dword:755a84c3
    "h0"=dword:00000001

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:D 8,b5,10,c3,45,8d,17,d0,0d,c4,a4,71,78,21,31,f5,29,4d,f2,b2,30,..
    "p0"="C:\Program Files\DAEMON Tools\"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,25,ce,a2,e7,12,eb,6b,8b,6d,10,ff,0f,e3,7f,75,df,db,..
    "khjeh"=hex:c2,5b,aa,b2,a5,9f,8b,e2,f1,d9,de,1a,7f,ae,58,97,25,3a,3d,40,34,..

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:f8,d4,3d,21,20,9b,e7,45,c5,88,07,7b,24,53,c3,4e,40,db,da,e3,b1,..
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
    "h0"=dword:00000000
    "khjeh"=hex:D 8,b5,10,c3,45,8d,17,d0,0d,c4,a4,71,78,21,31,f5,29,4d,f2,b2,30,..
    "p0"="C:\Program Files\DAEMON Tools\"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
    "a0"=hex:20,01,00,00,25,ce,a2,e7,12,eb,6b,8b,6d,10,ff,0f,e3,7f,75,df,db,..
    "khjeh"=hex:c2,5b,aa,b2,a5,9f,8b,e2,f1,d9,de,1a,7f,ae,58,97,25,3a,3d,40,34,..

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
    "khjeh"=hex:f8,d4,3d,21,20,9b,e7,45,c5,88,07,7b,24,53,c3,4e,40,db,da,e3,b1,..

    scanning hidden registry entries ...

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
    "TracesProcessed"=dword:000000d5

    scanning hidden files ...

    C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 65536 bytes

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 1


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\logo_ubi.exe:*:Enabled:SPLINTER CELL PANDORA"
    "%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe"="%ProgramFiles%\\UBISOFT\\Splinter Cell Pandora Tomorrow\\pandora.exe:*:Enabled:p ANDORA"
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\APPS\\Inventime\\my.exe"="C:\\APPS\\Inventime\\my.exe:*:Enabled:INVENTIME"
    "C:\\WINDOWS\\system32\\lxbycoms.exe"="C:\\WINDOWS\\system32\\lxbycoms.exe:*:D isabled:p 910 Series Server"
    "C:\\Program Files\\IncrediMail\\bin\\IMApp.exe"="C:\\Program Files\\IncrediMail\\bin\\IMApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\ZoomText 8.1\\zt8.exe"="C:\\Program Files\\ZoomText 8.1\\zt8.exe:LocalSubNet:Enabled:ZoomText 8.1"
    "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\ZoomText 9.1\\zt.exe"="C:\\Program Files\\ZoomText 9.1\\zt.exe:LocalSubNet:Enabled:ZoomText 9.1"
    "C:\\DOCUME~1\\DANIEL\\LOCALS~1\\Temp\\pinnew.exe"="C:\\DOCUME~1\\DANIEL\\LOCALS~1\\Temp\\pinnew.exe:*:Enabled:Enabled"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\ZoomText 8.1\\zt8.exe"="C:\\Program Files\\ZoomText 8.1\\zt8.exe:LocalSubNet:Enabled:ZoomText 8.1"
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\Program Files\\ZoomText 9.1\\zt.exe"="C:\\Program Files\\ZoomText 9.1\\zt.exe:LocalSubNet:Enabled:ZoomText 9.1"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Wed 30 Mar 2005 215 A.SHR --- "C:\BOOT.BAK"
    Fri 12 Mar 2004 54,384 A..H. --- "C:\Program Files\AOL 9.0\aolphx.exe"
    Fri 12 Mar 2004 156,784 A..H. --- "C:\Program Files\AOL 9.0\aoltray.exe"
    Fri 12 Mar 2004 31,344 A..H. --- "C:\Program Files\AOL 9.0\RBM.exe"
    Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
    Thu 5 Mar 2009 40,960 ..SHR --- "C:\WINDOWS\system32\activedsn.exe"
    Sat 7 Oct 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Wed 20 Dec 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
    Fri 12 Mar 2004 106,496 A..H. --- "C:\Program Files\Fichiers communs\aolshare\shell\fr\shellext.dll"
    Fri 17 Nov 2006 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5a0d771158cfd69be5ddd26d8f58c73b\BIT4.tmp"

    Finished!



    a c 612 8 Sécurité
    26 Mai 2009 22:55:44

    Re,

    ;)  Désolé du retard à mon tour ...

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.
  • Ferme le programme

    Redémarre le pc en mode sans échec : Méthode F8 obligatoire !

    /!\ - Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
    -- je t'invite donc à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
    --- /!\ Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.

  • Lance à nouveau Malwarebyte's.
  • Choisi "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Si ce n'est pas fait, redémarre normalement.
    Et poste le rapport

    Une aide à l'utilisation ici
    31 Mai 2009 13:04:35

    Bonjour, voici le rapport que tu m'as demandé:

    Malwarebytes' Anti-Malware 1.37
    Version de la base de données: 2185
    Windows 5.1.2600 Service Pack 2

    27/05/2009 20:46:13
    mbam-log-2009-05-27 (20-46-13).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 226634
    Temps écoulé: 1 hour(s), 16 minute(s), 26 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 11
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 6
    Fichier(s) infecté(s): 18

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6f282b65-56bf-4bd1-a8b2-a4449a05863d} (Adware.Gamesbar) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\ExtSecurityCenter (Rogue.ExtSecurityCenter) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{4e7bd74f-2b8d-469e-a0e8-ed6ab685fa7d} (Adware.2020Search) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Program Files\Montorgueil (Dialer) -> Quarantined and deleted successfully.
    c:\program files\montorgueil\laetitia-video-baise (Dialer) -> Quarantined and deleted successfully.
    c:\documents and settings\christine\application data\VirusRemover2009 (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\documents and settings\christine\application data\virusremover2009\Logs (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\documents and settings\DANIEL\application data\VirusRemover2009 (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\documents and settings\DANIEL\application data\virusremover2009\Logs (Rogue.VirusRemover) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\program files\trend micro\hijackthis\backups\backup-20090508-220938-381.dll (Adware.PopCap) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP674\A0170468.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP674\A0170469.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP684\A0176409.exe (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195695.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195696.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195697.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195698.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195699.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195700.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{751238cc-feb5-4605-9ea9-b441ebd3d66d}\RP703\A0195701.dll (Trojan.Vundo.V) -> Quarantined and deleted successfully.
    c:\program files\montorgueil\14.06228 (Dialer) -> Quarantined and deleted successfully.
    c:\program files\montorgueil\laetitia-video-baise\laetitia-video-baise.ico (Dialer) -> Quarantined and deleted successfully.
    c:\documents and settings\christine\application data\virusremover2009\Logs\scns.log (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    c:\documents and settings\DANIEL\application data\virusremover2009\Logs\scns.log (Rogue.VirusRemover) -> Quarantined and deleted successfully.
    C:\WINDOWS\system32\activedsn.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    c:\documents and settings\DANIEL\Application Data\config.cfg (Malware.Trace) -> Quarantined and deleted successfully.
    c:\documents and settings\DANIEL\Application Data\~tmp.html (Malware.Trace) -> Quarantined and deleted successfully.



    Bonne journée (ensoleillée je pense)
    a c 612 8 Sécurité
    1 Juin 2009 14:29:27

    ;)  Re,

    Le plus gros est fait, la suite :

    1) Télécharge CCleaner Slim (sans toolbar) de Piriform :

  • Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici)
  • Ceci terminé, lance le programme.
  • Choisis Options -> Avancé -> et décoche "Effacer uniquement les fichiers du dossier temp plus vieux que 48h"
  • Choisis "Nettoyeur" puis clique sur "Analyse"
  • Laisse faire puis clique sur "Lancer le nettoyage" et accepte l'avertissement avec "Oui"

  • Choisis ensuite "Registre" puis clique sur "Chercher les erreurs"
  • Laisse faire le scan puis clique sur "Réparer les erreurs sélectionnées"
  • Enregistre la sauvegarde en cliquant sur "Oui"
  • puis clique sur "Corriger toutes les erreurs sélectionnées"
  • Valide l'avertissement en cliquant sur "Oui"

  • Ferme le programme

    2) Effectue ce scan en ligne :

    Webscanner Kaspersky

    puis



  • Accepte la licence
  • Accepte le contrôle ActiveX
  • Attends la fin du chargement de la base puis clique sur Suivant.
  • Dans Analyser avec la base antivirus suivante cocher étendue. A défaut, choisir Standard.
  • Dans Options d'analyse, cocher Analyser les archives + Analyser les bases de messagerie.
    => Puis valider en cliquant sur Ok

    -> Choisir "Poste de travail" et laisser faire (peut durer plus d'une heure)

    Sauvegarder le rapport à la fin (cliquer sur Enregistrer le rapport)
    Poste le rapport obtenu

    3) Effectue un nouveau scan avec DDS :
    et poste-moi le rapport DDS.txt

    => dans ta prochaine réponse, il me faut le rapport Kaspersky et DDS.txt

    [:_tom_:7]
    22 Juin 2009 22:39:23

    Désolé pour l'enorme retard...

    Le rapport Kaspersky:

    lundi 22 juin 2009
    Système d'exploitation : Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
    Version de Kaspersky Online Scanner : 7.0.26.13
    Dernière mise à jour de la base : Monday, June 22, 2009 14:31:20
    Enregistrements dans la base : 2377247


    Paramètres d'analyse
    analyser avec la base suivante étendue
    Analyser les archives oui
    Analyser les bases de messagerie oui

    Zone d'analyse Poste de travail
    C:\
    D:\
    E:\
    F:\
    G:\
    H:\
    I:\
    K:\

    Statistiques d'analyse
    Objets analysés 110561
    Menaces trouvées 2
    Objets infectés trouvés 6
    Objets suspects trouvés 0
    Durée d'analyse 01:36:17

    Nom de fichier Menace Compteur de menaces
    C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\IncrediMail\incredimail_install.exe Infecté : not-a-virus:D ownloader.Win32.ImLoader.n 1

    C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_install.exe Infecté : not-a-virus:D ownloader.Win32.ImLoader.n 1

    C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_installer.exe Infecté : not-a-virus:D ownloader.Win32.ImLoader.n 1

    C:\Documents and Settings\CHRISTINE\Local Settings\Temp\ImInstaller\incredimail_installer.exe.tcmp Infecté : not-a-virus:D ownloader.Win32.ImLoader.n 1

    C:\Program Files\DAEMON Tools\SetupDTSB.exe Infecté : not-a-virus:WebToolbar.Win32.WhenU.a 1

    C:\Program Files\IncrediMail\bin\IncrediMail_Install.exe Infecté : not-a-virus:D ownloader.Win32.ImLoader.n 1

    La zone sélectionnée a été analysée.


    Le rapport DDS:

    DDS (Ver_09-03-16.01) - NTFSx86
    Run by DANIEL at 19:27:28,43 on 22/06/2009
    Internet Explorer: 7.0.5730.11
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.127 [GMT 2:00]


    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    svchost.exe
    C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
    c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
    c:\APPS\Powercinema\Kernel\TV\CLSched.exe
    C:\WINDOWS\system32\crypserv.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    C:\Program Files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\APPS\HIDSERVICE\HIDSERVICE.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\Creative\Shared Files\CAMTRAY.EXE
    C:\Program Files\Lexmark P910 Series\lxbymon.exe
    C:\Program Files\Lexmark P910 Series\ezprint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\MessengerPlus! 3\MsgPlus.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
    C:\WINDOWS\system32\lxbycoms.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\DANIEL\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uWindow Title = Packard Bell
    uInternet Connection Wizard,ShellNext = hxxp://192.168.1.1/ServicesAcces.html
    BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
    BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll
    BHO: AhIeBho Class: {10384d0e-2bc1-48b6-844b-ad0e9e6d2511} - c:\program files\zoomtext 9.1\ahoi\ah_ie_bho.dll
    BHO: : {53707962-6f74-2d53-2644-206d7942484f} - c:\progra~1\spybot~1\SDHelper.dll
    BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.6.0_02\bin\ssv.dll
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    BHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    BHO: 1 (0x1) - No File
    BHO: GamesBarBHO Class: {cb0d163c-e9f4-4236-9496-0597e24b23a5} - c:\program files\gamesbar\oberontb.dll
    TB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program files\windows live toolbar\msntb.dll
    TB: GamesBar: {6f282b65-56bf-4bd1-a8b2-a4449a05863d} - c:\program files\gamesbar\oberontb.dll
    TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File
    EB: Real.com: {fe54fa40-d68c-11d2-98fa-00c0f0318afe} - c:\windows\system32\Shdocvw.dll
    uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
    uRun: [IncrediMail] c:\program files\incredimail\bin\IncMail.exe /c
    mRun: [IMJPMIG8.1] "c:\windows\ime\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    mRun: [PHIME2002ASync] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /SYNC
    mRun: [PHIME2002A] c:\windows\system32\ime\tintlgnt\TINTSETP.EXE /IMEName
    mRun: [ATIPTA] c:\ati technologies\ati control panel\atiptaxx.exe
    mRun: [SunJavaUpdateSched] "c:\program files\java\jre1.6.0_02\bin\jusched.exe"
    mRun: [PCMService] "c:\apps\powercinema\PCMService.exe"
    mRun: [Creative WebCam Tray] c:\program files\creative\shared files\CAMTRAY.EXE
    mRun: [LXBYCATS] rundll32 c:\windows\system32\spool\drivers\w32x86\3\LXBYtime.dll,_RunDLLEntry@16
    mRun: [lxbymon.exe] "c:\program files\lexmark p910 series\lxbymon.exe"
    mRun: [FaxCenterServer] "c:\program files\lexmark fax solutions\fm3032.exe" /s
    mRun: [EzPrint] "c:\program files\lexmark p910 series\ezprint.exe"
    mRun: [QuickTime Task] "c:\program files\quicktime\qttask.exe" -atboottime
    mRun: [HP Software Update] "c:\program files\hp\hp software update\HPWuSchd2.exe"
    mRun: [TkBellExe] "c:\program files\fichiers communs\real\update_ob\realsched.exe" -osboot
    mRun: [MessengerPlus3] "c:\program files\messengerplus! 3\MsgPlus.exe"
    mRun: [WinampAgent] "c:\program files\winamp\winampa.exe"
    mRun: [ZoomText] "c:\program files\zoomtext 9.1\ZT.exe" /AUTOSTART
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    StartupFolder: c:\docume~1\daniel\menudm~1\progra~1\dmarra~1\openof~1.lnk - c:\program files\openoffice.org 2.3\program\quickstart.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\dmarra~1.lnk - c:\program files\hp\digital imaging\bin\hpqthb08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
    StartupFolder: c:\docume~1\alluse~1\menudé~1\progra~1\démarr~1\sagem-~1.lnk - c:\program files\sagem wi-fi usb 802.11g\WLANUTL.exe
    IE: &Windows Live Search - c:\program files\windows live toolbar\msntb.dll/search.htm
    IE: {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}
    IE: {1A93C934-025B-4c3a-B38E-9654A7003239} - {6F282B65-56BF-4BD1-A8B2-A4449A05863D} - c:\program files\gamesbar\oberontb.dll
    IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - {FE54FA40-D68C-11d2-98FA-00C0F0318AFE} - c:\windows\system32\Shdocvw.dll
    DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
    DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - hxxp://webscanner.kaspersky.fr/kavwebscan_unicode.cab
    DPF: {5308E02B-4ABA-48E4-AA9E-8A7693661473} - hxxp://jeuxenligne.orange.fr/GisActiveX/Ax/GameAx.cab
    DPF: {5D6F45B3-9043-443D-A792-115447494D24} - hxxp://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} -
    DPF: {7CCAD6DD-DD0B-440B-91FF-7670F5AADC21} - hxxp://jeuxenligne.orange.fr/online2/mystery_solitaire/SpinTopGamesLauncher.cab
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - hxxp://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.servicesalacarte.orange.fr/activex/zylomgamesplayer.cab
    DPF: {C9E17F58-564C-41C6-989F-AB0FE0D2C9D1} - hxxp://jeuxenligne.orange.fr/orange2.0/OnlineHSS/bejeweled_2/Popcap.cab
    DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
    DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
    DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} - hxxp://jeuxenligne.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    DPF: {EF148DBB-5B6D-4130-B2A1-661571E86260} - hxxp://jeuxenligne.orange.fr/online2/mahjong_escape_ancient/PTGameLauncher.cab
    SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

    ============= SERVICES / DRIVERS ===============

    R1 Ai2sXP;Ai2sXP;c:\windows\system32\drivers\Ai2sXP.sys [2008-6-10 7296]
    S3 P0630VID;Creative WebCam Live!;c:\windows\system32\drivers\P0630Vid.sys [2006-9-30 91830]
    S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2006-9-30 379456]

    =============== Created Last 30 ================

    2009-06-09 21:40 <DIR> --d----- c:\windows\system32\Kaspersky Lab
    2009-06-07 17:54 <DIR> --d----- c:\docume~1\alluse~1\applic~1\GamesBar
    2009-06-07 17:54 <DIR> --d----- c:\program files\GamesBar
    2009-06-07 17:53 <DIR> --d----- c:\program files\Oberon Media
    2009-06-07 17:53 <DIR> --d----- c:\program files\fichiers communs\Oberon Media
    2009-05-27 19:19 <DIR> --d----- c:\docume~1\daniel\applic~1\Malwarebytes
    2009-05-27 19:19 40,160 a------- c:\windows\system32\drivers\mbamswissarmy.sys
    2009-05-27 19:19 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Malwarebytes
    2009-05-27 19:19 19,096 a------- c:\windows\system32\drivers\mbam.sys
    2009-05-27 19:19 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware

    ==================== Find3M ====================

    2009-05-07 17:43 347,136 a------- c:\windows\system32\localspl.dll
    2009-05-07 17:43 347,136 -------- c:\windows\system32\dllcache\localspl.dll
    2009-04-28 11:06 70,656 -------- c:\windows\system32\dllcache\ie4uinit.exe
    2009-04-28 11:06 13,824 -------- c:\windows\system32\dllcache\ieudinit.exe
    2009-04-25 07:27 636,088 -------- c:\windows\system32\dllcache\iexplore.exe
    2009-04-25 07:26 161,792 -------- c:\windows\system32\dllcache\ieakui.dll
    2009-04-19 22:09 1,846,784 a------- c:\windows\system32\win32k.sys
    2009-04-19 22:09 1,846,784 -------- c:\windows\system32\dllcache\win32k.sys
    2009-04-19 17:06 445,434 a------- c:\windows\system32\perfh00C.dat
    2009-04-19 17:06 63,854 a------- c:\windows\system32\perfc00C.dat
    2009-04-15 17:30 583,168 a------- c:\windows\system32\rpcrt4.dll
    2009-04-15 17:30 583,168 -------- c:\windows\system32\dllcache\rpcrt4.dll
    2007-04-04 07:48 48,456 a------- c:\docume~1\daniel\applic~1\GDIPFONTCACHEV1.DAT

    ============= FINISH: 19:28:55,26 ===============


    Avec mes excuses



    a c 612 8 Sécurité
    2 Juillet 2009 10:31:41

    [:arslan:13] Salut,

    :D  Je croyais réellement t'avoir perdu .. on repars alors ;) 

    Tu as réinstallé une toolbar frauduleuse : Oberon
    Faite attention à ceux qu'on vous propose et n'installez pas sans savoir ...

    1) Relance Toolbar-S&D (Team IDN) via le raccourci sur ton bureau

  • Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
  • Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.[/li]
  • Poste le rapport généré. (C:\TB.txt)

    2) Installe un antivirus

    Apparemment, il n'y a aucun antivirus d'installé et d'actif sur le PC.
    Je te conseille d'installer l'un de ces deux antivirus gratuit et performant :
    Antivir ou AVG

    Ensuite, effectue un scan complet en mode sans échec

    Dans ta prochaine réponse, il me faut :
    - Le rapport option 1 de toolbarSD
    - Le rapport de ton antivirus

    :AAN
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS