Se connecter / S'enregistrer
Votre question

Infection par Virtumonde, popups, lo.st, etc ...

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Mars 2009 12:20:52

Bonjour !

Une petite demande d'aide pour désinfecter mon PC SVP.

Les symptômes :
- ESET Nod32 me détecte des infections à chaque démarrage, parmi lesquelles : "IRC/SdBot trojan", "Win32/Adware.Virtumonde.NEO application", "a variant of Win32/Adware.Virtumonde.NEP application, "a variant of Win32/Adware.VirusRemover application", "a variant of Win32/Kryptik.KU application" et a variant of Win32/Kryptik.KU application".
- Des popups intempestifs à la fois sur Internet Explorer (que je n'utilise pas habituellement) et sur Firefox.
- Firefox me met à chaque démarrage qu'il a été mis à jour 'version 3.0.7) et change de page d'accueil pour http://lo.st#home.
- AdAware me trouve 5 objets infectés à l'heure où j'écris ces lignes, mais je n'ai pas encore le résultat.
- Un rundll32 tourne, mon Process Explorer me dit que c'est ""C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\polelure.dll",b".

Pour infos, je viens de supprimer "eoengine" via Ajout/Suppression de programmes, ainsi que le programme de contrôle parental "naomi".

En vous remerciant pour votre aide !

Autres pages sur : infection virtumonde popups

29 Mars 2009 12:25:38

:hello:  Bonjour,

***Désactive tes protections résidentes pour télécharger et exécuter EDT***

Télécharge Egwene's Diagnostic Tool (EDT) et enregistre-le sur ton bureau.

  • Double-clique sur l'icône du fichier pour le lancer.
  • Un premier écran de choix va apparaître choisis "Français" puis valide par entrée.
  • Un deuxième écran de choix va apparaître : choisis "Listes blanches : on" puis valide par entrée.
  • Un troisième écran de choix va apparaître : choisis "Tout scanner" puis valide par entrée.
  • Un quatrième écran de choix va apparaître : choisis "30 jours" puis valide par entrée.
    *** Laisse le programme travailler et ne fais rien d'autre pendant ce temps ***
  • Il se peut qu'un message d'erreur apparaisse une fois rendu à "Infos OS" : clique sur annuler.
  • Un rapport va s'ouvrir : poste-le sur le forum. Veille bien à ce qu'il soit complet.
    *** Poste-le en plusieurs fois si nécessaire ***

    N.B : Il se peut que ton antivirus détecte le composant Xproc.exe de EDT comme néfaste, rassure-toi c'est un processus légitime qu'utilise EDT. Ignore les éventuelles alertes de ton antivirus à son propos.

    ;) 
    m
    0
    l
    29 Mars 2009 12:46:14

    ======================================= Egwene's Diagnostic Tool =======================================

    LEPOUTRE
    Scan lancé le 29/03/2009 à 12:34:19
    Microsoft Windows XP Professional (5.1.2600) Service Pack 3
    Internet Explorer: 6.0.2900.5512

    A:\ [Removable] (Total:0 Mo/Free:0 Mo)
    C:\ [Fixed] - NTFS - (Total:69994 Mo/Free:1393 Mo)
    D:\ [Fixed] - NTFS - (Total:124472 Mo/Free:941 Mo)
    E:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
    G:\ [CD-Rom] (Total:0 Mo/Free:0 Mo)
    H:\ [Removable] (Total:0 Mo/Free:0 Mo)

    ====== Processus (by Eric_71) ======



    ====== Internet Explorer ======

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Default_Page_URL"=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&...
    "Default_Search_URL"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
    "Search Page"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
    "Enable_Disk_Cache"=yes
    "Local Page"=%SystemRoot%\system32\blank.htm

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Search Page"=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iese...
    "Local Page"=C:\WINDOWS\system32\blank.htm

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
    "SearchAssistant"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
    "CustomizeSearch"=http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "ProxyEnable"=0 (0x0)
    "User Agent"=Mozilla/4.0 (compatible; MSIE 6.0; Win32)

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "ActiveXCache"=C:\WINDOWS\Downloaded Program Files

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll - Microsoft Url Search Hook [ ]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt]
    Exporter vers Microsoft Excel: @=res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7}]
    {E763472E-A716-4CD9-89BD-DBDA6122F741} - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - {FE7FA1AD-228E-438C-891D-D06FFC81D8A1} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{700259D7-1666-479a-93B1-3250410481E8}]
    {A93C41D8-01F8-4F8B-B14C-DE20B117E636} - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - {FE7FA1AD-228E-438C-891D-D06FFC81D8A1} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263}]
    {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583}]
    {1FBA04EE-3024-11d2-8F1F-0000F87ABD16} - %windir%\Network Diagnostic\xpnetdiag.exe

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}]
    !{1FBA04EE-3024-11D2-8F1F-0000F87ABD16} - C:\Program Files\Messenger\msmsgs.exe

    ====== BHOs ======

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0347C33E-8762-4905-BF09-768834316C61}]
    HP Print Enhancer - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll [02/03/2007 17:52 1298024]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{053F9267-DC04-4294-A72C-58F732D338C0}]
    HP Print Clips - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [02/03/2007 17:52 177768]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    (no-file)

    ====== RUN keys ======

    ====== Policies ======

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=145 (0x91)
    "NoControlPanel"=0 (0x0)

    [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=145 (0x91)

    ====== 020s in HijackThis ======

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa]

    ====== TCPIP (DNS Hijacked) ======

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
    "DataBasePath"=%SystemRoot%\System32\drivers\etc
    "DhcpNameServer"=192.168.1.1

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B2700D48-E67C-4488-B598-5CA986E8DDE2}]
    "DhcpNameServer"=192.168.1.1

    ====== Drivers 32 ======

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "VIDC.I420"=msh263.drv [14/04/2008 294912]
    "VIDC.DIVX"=divx.dll [25/07/2008 683520]
    "VIDC.XVID"=xvidvfw.dll [10/01/2008 159839]
    "msacm.ac3acm"=ac3acm.acm [21/09/2007 118784]
    "VIDC.FFDS"=ff_vfw.dll [12/06/2008 7680]
    "wave1"=wdmaud.drv [14/04/2008 23552]
    "midi1"=wdmaud.drv [14/04/2008 23552]
    "mixer1"=wdmaud.drv [14/04/2008 23552]

    ====== Clés SafeBoot ======

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Lavasoft Ad-Aware Service]

    ====== DPF (016) ======

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{6414512B-B978-451D-A0D8-FCFDF33E833C}]
    hoop://www.update.microsoft.com/windowsupdate/v6/V5Controls/en...

    ---Downloaded Program Files---
    C:\WINDOWS\Downloaded Program Files\wuweb.inf [30/07/2007 20:24 293]

    ====== \..\Image File Execution Options ======

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    "Debugger"=ntsd -d


    ====== \..\Installed Components ======

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{4b218e3e-bc98-4770-93d3-2731b9329278}]
    "StubPath"=%SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection MarketplaceLinkInstall 896 %systemroot%\inf\ie.inf


    ====== Security Center ======

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    "C:\WINDOWS\system32\sessmgr.exe"=C:\WINDOWS\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    "C:\WINDOWS\Cyb2k.exe"=C:\WINDOWS\Cyb2k.exe:*:Enabled:CYBERsitter Control Panel
    "C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook
    "C:\Program Files\iTunes\iTunes.exe"=C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes
    "C:\Program Files\Microsoft LifeCam\LifeCam.exe"=C:\Program Files\Microsoft LifeCam\LifeCam.exe:*:Enabled:LifeCam.exe
    "C:\Program Files\Microsoft LifeCam\LifeExp.exe"=C:\Program Files\Microsoft LifeCam\LifeExp.exe:*:Enabled:LifeExp.exe
    "C:\Program Files\Vsk5Online\Vsk5Online.exe"=C:\Program Files\Vsk5Online\Vsk5Online.exe:*:Enabled:Vsk5Online
    "C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe"=C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe:*:Enabled:Kodak Software Updater
    "C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
    "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger
    "C:\WINDOWS\explorer.exe"=C:\WINDOWS\explorer.exe:*:Enabled:Explorer
    "C:\Program Files\Google\Update\GoogleUpdate.exe"=C:\Program Files\Google\Update\GoogleUpdate.exe:*:Enabled:GoogleUpdate
    "C:\WINDOWS\system32\services.exe"=C:\WINDOWS\system32\services.exe:*:Enabled:services
    "C:\Program Files\Skype\Phone\Skype.exe"=C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype
    "C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe"=C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe:*:Enabled:mdm

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"=C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    "C:\WINDOWS\system32\sessmgr.exe"=C:\WINDOWS\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    "C:\Program Files\Windows Live\Messenger\wlcsdk.exe"=C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call
    "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"=C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger


    ====== HKLM\..\AeDebug ======

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
    "Auto"=0
    "Debugger"=drwtsn32 -p %ld -e %ld -g



    ====== FireFox ======

    Version: 3.0.7 (fr)
    Dossier: C:\Program Files\Mozilla Firefox\

    [.....Pref.js.....]

    "browser.startup.homepage" = "http://lo.st#home"
    "browser.startup.homepage_override.mstone" = "rv:1.9.0.4"
    "browser.startup.homepage" = "http://lo.st#"
    "browser.startup.homepage_override.mstone" = "rv:1.9.0.4"
    "browser.startup.homepage" = "http://fr.msn.com/"
    "browser.search.selectedEngine" = "Live Search"
    "keyword.URL" = "http://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMW..."

    [.....Extensions.....]

    Nom = Diccionario de Español/España [26/10/2006 10:33 1297]
    Path = C:\DOCUME~1\BORIS&~1\APPLIC~1\Mozilla\Firefox\profiles\tqzgc9t1.default\extensions\es-es@dictionaries.addons.mozilla.org\install.rdf

    Nom = Adobe DLM (powered by getPlus(R)) [01/12/2008 12:01 948]
    Path = C:\DOCUME~1\BORIS&~1\APPLIC~1\Mozilla\Firefox\profiles\tqzgc9t1.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\install.rdf

    Nom = Skype extension for Firefox [04/02/2009 13:27 1157]
    Path = C:\Program Files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\install.rdf

    [.....Plugins.....]

    C:\Program Files\Mozilla Firefox\Plugins\np_gp.dll [01/12/2008 12:01 114540]

    [.....Plugins Registre.....]

    [HKLM\software\mozillaplugins\@adobe.com/ShockwavePlayer]
    "Description"=Adobe Shockwave Player
    "Path"=C:\WINDOWS\system32\Adobe\Director\np32dsw.dll [16/01/2009 20:17 114688]
    "Vendor"=Adobe Systems Inc

    [HKLM\software\mozillaplugins\@tools.google.com/Google Update;version=7]
    "Path"=C:\Program Files\Google\Update\1.2.141.5\npGoogleOneClick7.dll [12/02/2009 18:55 232432]
    "Description"=Google Update
    "Vendor"=Google


    [.....Extensions Registre.....]

    [HKEY_LOCAL_MACHINE\software\mozilla\firefox\extensions]
    "jqs@sun.com"=C:\Program Files\Java\jre6\lib\deploy\jqs\ff

    [HKEY_LOCAL_MACHINE\software\mozilla\mozilla firefox 3.0.7\extensions]
    "Components"=C:\Program Files\Mozilla Firefox\components
    "Plugins"=C:\Program Files\Mozilla Firefox\plugins

    ==>Trouvé dans extensions.ini :
    Extension4=C:\Program Files\Java\jre6\lib\deploy\jqs\ff
    [.....Fichiers/dossiers suspects.....]
    (Suspect ne veut pas dire néfaste !!! )

    C:\Documents and Settings\Boris [ ]
    C:\Documents and Settings\Boris [ ]
    C:\Documents and Settings\Boris [ ]


    ====== Liste de programmes ======

    Windows Driver Package - Nokia Modem (02/15/2007 3.1)
    Windows Driver Package - Nokia (WUDFRd) WPD (06/01/2007 6.84.33.0)
    Ad-Aware
    Adobe Acrobat 5.0
    Adobe Flash Player 10 Plugin
    Adobe Shockwave Player 11
    AviSynth 2.5
    Windows Driver Package - Nokia Modem (02/15/2007 3.1)
    HP Imaging Device Functions 9.0
    HP Photosmart Essential 2.01
    HP Solution Center 9.0
    HP Customer Participation Program 9.0
    HP OCR Software 9.0
    Hotfix for Windows XP (KB893470)
    Windows XP - Software Updates
    K-Lite Codec Pack 4.1.7 (Full)
    Mozilla Firefox (3.0.7)
    OpenAL
    PhotoFiltre
    Microsoft Office Professional Plus 2007
    Shockwave Director 11.0.3
    Videora iPod touch Converter 4.04
    Windows Media Format 11 runtime
    Installation Windows Live
    Windows Media Format 11 runtime
    Microsoft User-Mode Driver Framework Feature Pack 1.5
    XML Paper Specification Shared Components Pack 1.0
    YouTube Downloader App 1.01
    DocProc
    MarketingReg
    Windows Live Messenger
    TrayApp
    Nokia Connectivity Cable Driver
    MarketResearch
    Copy
    DeviceDiscovery
    MSVCRT
    7-Zip 4.57
    Skype™ 4.0
    Java(TM) 6 Update 11
    WebReg
    Microsoft .NET Framework 3.0 Service Pack 1
    Scan
    iTunes
    J2SE Runtime Environment 5.0 Update 6
    Safari
    WebFldrs XP
    Windows Live Communications Platform
    Microsoft .NET Framework 2.0 Service Pack 1 Language Pack - FRA
    HP Smart Web Printing
    HPSSupply
    Microsoft .NET Framework 3.0 Service Pack 1 Language Pack - FRA
    UnloadSupport
    Google Earth
    Microsoft LifeCam
    eSupportQFolder
    Apple Software Update
    Windows Media Player Firefox Plugin
    CustomerResearchQFolder
    Microsoft Visual C++ 2005 Redistributable
    Installation Windows Live
    Microsoft Corporation
    VideoToolkit01
    Windows Live Call
    HP Photosmart Essential2.01
    Picture Control Utility
    DocProcQFolder
    Choice Guard
    Microsoft Software Update for Web Folders (French) 12
    Microsoft Office Professional Plus 2007
    Microsoft Office Access MUI (French) 2007
    Microsoft Office Excel MUI (French) 2007
    Microsoft Office PowerPoint MUI (French) 2007
    Microsoft Office Publisher MUI (French) 2007
    Microsoft Office Outlook MUI (French) 2007
    Microsoft Office Word MUI (French) 2007
    Microsoft Office Proof (Arabic) 2007
    Microsoft Office Proof (German) 2007
    Microsoft Office Proof (English) 2007
    Microsoft Office Proof (French) 2007
    Microsoft Office Proof (Dutch) 2007
    Microsoft Office Proof (Spanish) 2007
    Microsoft Office Proofing (French) 2007
    Microsoft Office InfoPath MUI (French) 2007
    Microsoft Office Shared MUI (French) 2007
    MobileMe Control Panel
    Microsoft Application Error Reporting
    PC Connectivity Solution
    Segoe UI
    Google Update Helper
    HP Update
    DeviceManagementQFolder
    Adobe Reader 9 - Français
    C4200_doccd
    HPProductAssistant
    AIO_Scan
    HP Photosmart All-In-One Software 9.0
    Microsoft .NET Framework 2.0 Service Pack 1
    Windows Presentation Foundation
    ESET NOD32 Antivirus
    SolutionCenter
    c4200_Help
    C4200
    Marvell Miniport Driver
    getPlus(R) for Adobe
    Destination Component
    Nikon Message Center
    PS_AIO_Software
    Assistant de connexion Windows Live
    Ad-Aware
    BufferChm
    PS_AIO_Software_min
    Nikon Transfer
    Toolbox
    Apple Mobile Device Support
    ViewNX
    32 Bit HP CIO Components Installer
    Visual C++ 2008 x86 Runtime - (v9.0.30729)
    Visual C++ 2008 x86 Runtime - v9.0.30729.01
    Visual C++ 9.0
    PSSWCORE
    QuickTime
    Realtek AC'97 Audio
    PS_AIO_ProductContext
    Status
    MSXML 6.0 Parser (KB925673)

    ======================================= Fin du rapport =======================================
    m
    0
    l
    Contenus similaires
    29 Mars 2009 13:00:12

    Re,

    Ton windows n'est pas légal, c'est une version crackée... probablement l'origine de l'infection...

    Télécharge DDS de sUBs et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus, sois patient !
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt, garde l'autre sous la main si jamais je te le demande.

    ;) 
    m
    0
    l
    29 Mars 2009 13:12:09

    Il ne m'a pas demandé d'invite pour le scan optionnel, et m'a ouvert deux fichiers, DDS.txt, et Attach.txt.

    Voici le contenu de DDS.txt :

    1. DDS (Ver_09-03-16.01) - NTFSx86
    2. Run by Boris & Co at 13:09:27,50 on 29/03/2009
    3. Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_11
    4. Microsoft Windows XP Professional 5.1.2600.3.1252.33.1033.18.1023.585 [GMT 2:00]
    5.  
    6. AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)
    7.  
    8. ============== Running Processes ===============
    9.  
    10. C:\WINDOWS\system32\svchost -k DcomLaunch
    11. svchost.exe
    12. C:\WINDOWS\System32\svchost.exe -k netsvcs
    13. C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
    14. svchost.exe
    15. C:\WINDOWS\Explorer.EXE
    16. svchost.exe
    17. C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
    18. C:\WINDOWS\system32\spoolsv.exe
    19. C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
    20. C:\WINDOWS\SOUNDMAN.EXE
    21. C:\WINDOWS\vVX1000.exe
    22. C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    23. C:\Program Files\iTunes\iTunesHelper.exe
    24. C:\Program Files\Java\jre6\bin\jusched.exe
    25. C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
    26. C:\Program Files\Google\Update\GoogleUpdate.exe
    27. C:\WINDOWS\system32\ctfmon.exe
    28. C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    29. C:\Program Files\Common Files\Nikon\Monitor\NkMonitor.exe
    30. C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    31. C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
    32. C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
    33. C:\Program Files\Java\jre6\bin\jqs.exe
    34. C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
    35. C:\Program Files\Microsoft LifeCam\MSCamS32.exe
    36. C:\WINDOWS\System32\svchost.exe -k HPZ12
    37. C:\WINDOWS\System32\svchost.exe -k HPZ12
    38. C:\WINDOWS\system32\svchost.exe -k imgsvc
    39. C:\Program Files\iPod\bin\iPodService.exe
    40. C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    41. C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
    42. C:\Program Files\Mozilla Firefox\firefox.exe
    43. C:\Documents and Settings\Boris & Co\Desktop\dds.scr
    44.  
    45. ============== Pseudo HJT Report ===============
    46.  
    47. uSearch Bar = hxxp://search.msn.fr/spbasic.htm
    48. BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\smart web printing\hpswp_printenhancer.dll
    49. BHO: HP Print Clips: {053f9267-dc04-4294-a72c-58f732d338c0} - c:\program files\hp\smart web printing\hpswp_framework.dll
    50. BHO: Aide pour le lien d'Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
    51. BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
    52. BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    53. BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
    54. BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
    55. BHO: {a0f8ab7a-fd58-4187-87a4-fc21a5d8dc67} - c:\windows\system32\majiriho.dll
    56. BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    57. BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    58. BHO: {c2ab4041-69fa-d30a-adc4-77be4305f0ae}: {ea0f5034-eb77-4cda-a03d-af961404ba2c} - c:\windows\system32\hmploj.dll
    59. uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    60. mRun: [egui] "c:\program files\eset\eset nod32 antivirus\egui.exe" /hide /waitservice
    61. mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"
    62. mRun: [SoundMan] SOUNDMAN.EXE
    63. mRun: [VX1000] c:\windows\vVX1000.exe
    64. mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe
    65. mRun: [C2K] c:\windows\Cyb2k.exe
    66. mRun: [AppleSyncNotifier] c:\program files\common files\apple\mobile device support\bin\AppleSyncNotifier.exe
    67. mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime
    68. mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"
    69. mRun: [EoEngine]
    70. mRun: [LifeCam] "c:\program files\microsoft lifecam\LifeExp.exe"
    71. mRun: [SunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"
    72. mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    73. mRun: [wejuregetu] Rundll32.exe "c:\windows\system32\tikiyabu.dll",s
    74. mRun: [10abd5d5] rundll32.exe "c:\windows\system32\polelure.dll",b
    75. mRun: [CPM1398e649] Rundll32.exe "c:\windows\system32\sibofuda.dll",a
    76. mRun: [Ad-Watch] c:\program files\lavasoft\ad-aware\AAWTray.exe
    77. dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    78. StartupFolder: c:\docume~1\boris&~1\startm~1\programs\startup\nikonm~1.lnk - c:\program files\common files\nikon\monitor\NkMonitor.exe
    79. StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
    80. IE: E&xporter vers Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
    81. IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    82. IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    83. IE: {58ECB495-38F0-49cb-A538-10282ABF65E7} - {E763472E-A716-4CD9-89BD-DBDA6122F741} - c:\program files\hp\smart web printing\hpswp_extensions.dll
    84. IE: {700259D7-1666-479a-93B1-3250410481E8} - {A93C41D8-01F8-4F8B-B14C-DE20B117E636} - c:\program files\hp\smart web printing\hpswp_extensions.dll
    85. IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
    86. DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226355415375
    87. DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    88. DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab
    89. DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    90. DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
    91. Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
    92. Notify: Antiwpa - antiwpa.dll
    93. AppInit_DLLs: c:\windows\system32\gayujoje.dll hmploj.dll c:\windows\system32\sibofuda.dll
    94. SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
    95. SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\sibofuda.dll
    96. STS: STS: {ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} - c:\windows\system32\sibofuda.dll
    97. LSA: Notification Packages = scecli c:\windows\system32\gayujoje.dll
    98.  
    99. ================= FIREFOX ===================
    100.  
    101. FF - ProfilePath -
    102.  
    103. ============= SERVICES / DRIVERS ===============
    104.  
    105. R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-3-29 64160]
    106. R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-14 30728]
    107. R2 ekrn;Eset Service;c:\program files\eset\eset nod32 antivirus\ekrn.exe [2007-11-14 455936]
    108. R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\lavasoft\ad-aware\AAWService.exe [2009-1-18 951632]
    109. S2 gupdate1c989f48a9848d2;Google Update Service (gupdate1c989f48a9848d2);c:\program files\google\update\GoogleUpdate.exe [2009-2-8 133104]
    110. S3 Boonty Games;Boonty Games;c:\program files\common files\boonty shared\service\Boonty.exe [2009-1-20 69120]
    111. S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\nos\bin\getPlus_HelperSvc.exe [2009-1-19 33752]
    112.  
    113. =============== Created Last 30 ================
    114.  
    115. 2009-03-29 12:30 <DIR> --d----- C:\EDT$
    116. 2009-03-29 12:25 15,688 a------- c:\windows\system32\lsdelete.exe
    117. 2009-03-29 11:19 64,160 a------- c:\windows\system32\drivers\Lbd.sys
    118. 2009-03-29 11:18 <DIR> -cd-h--- c:\docume~1\alluse~1\applic~1\{83C91755-2546-441D-AC40-9A6B4B860800}
    119. 2009-03-29 11:18 <DIR> --d----- c:\program files\Lavasoft
    120. 2009-03-29 11:00 <DIR> --d----- c:\windows\pss
    121. 2009-03-27 19:19 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Chat Republic Games
    122. 2009-03-26 16:06 124,928 a--sh--- c:\windows\system32\hmploj.dll
    123. 2009-03-25 14:45 124,928 a--sh--- c:\windows\system32\jyisdr.dll
    124. 2009-03-24 22:14 5,057 a------- C:\gb.exe
    125. 2009-03-24 22:12 108,032 a------- C:\bmf.exe
    126. 2009-03-22 23:17 410,984 a------- c:\windows\system32\deploytk.dll
    127. 2009-03-22 23:17 73,728 a------- c:\windows\system32\javacpl.cpl
    128. 2009-03-12 19:19 <DIR> --d----- c:\program files\PhotoFiltre
    129. 2009-03-03 22:31 1,409 a------- c:\windows\system32\tmp54F5C.FOT
    130. 2009-03-03 21:58 205 a------- c:\windows\disneysy.ini
    131. 2009-03-03 21:43 <DIR> --d----- c:\windows\Ubisoft
    132. 2009-03-03 21:42 21,840 a------- c:\windows\system32\SIntfNT.dll
    133. 2009-03-03 21:42 17,212 a------- c:\windows\system32\SIntf32.dll
    134. 2009-03-03 21:42 12,067 a------- c:\windows\system32\SIntf16.dll
    135. 2009-03-03 21:41 <DIR> --d----- C:\Fichiers Programme
    136. 2009-03-03 21:37 736 a------- c:\windows\disney.ini
    137. 2009-03-03 21:37 <DIR> --d----- c:\documents and settings\boris & co\WINDOWS
    138. 2009-03-03 20:46 22,335 a------- c:\windows\emme.wri
    139. 2009-03-03 20:43 <DIR> --d----- C:\emme
    140. 2009-03-02 15:58 <DIR> --d----- c:\documents and settings\boris & co\Tracing
    141. 2009-03-02 15:14 <DIR> --d----- c:\program files\Train3D
    142. 2009-03-02 15:14 253,952 -------- c:\windows\Setup1.exe
    143. 2009-03-02 15:14 74,752 a------- c:\windows\ST6UNST.EXE
    144. 2009-03-02 13:22 <DIR> --d----- c:\program files\Vstep
    145.  
    146. ==================== Find3M ====================
    147.  
    148. 2009-03-29 10:52 79,872 a--sh--- c:\windows\system32\polelure.dll
    149. 2009-03-29 10:52 61,440 a--sh--- c:\windows\system32\fapumoke.exe
    150. 2009-03-29 10:52 84,992 a--sh--- c:\windows\system32\sibofuda.dll
    151. 2009-03-28 22:40 79,872 -------- c:\windows\system32\bibegipe.dll
    152. 2009-03-28 22:40 84,992 a--sh--- c:\windows\system32\juvuselu.dll
    153. 2009-03-28 22:40 61,440 a--sh--- c:\windows\system32\suwuwari.exe
    154. 2009-03-28 10:40 61,440 a--sh--- c:\windows\system32\wimesabi.exe
    155. 2009-03-28 10:40 79,872 -------- c:\windows\system32\wimesabi.dll
    156. 2009-03-27 19:06 79,872 a--sh--- c:\windows\system32\denufudu.dll
    157. 2009-03-27 19:06 84,992 a--sh--- c:\windows\system32\jepayala.dll
    158. 2009-03-26 16:06 124,928 a--sh--- c:\windows\system32\takavere.dll
    159. 2009-03-26 16:06 84,992 a--sh--- c:\windows\system32\bimefili.dll
    160. 2009-03-25 14:45 84,992 a--sh--- c:\windows\system32\fagonifa.dll
    161. 2009-03-25 14:45 124,928 a--sh--- c:\windows\system32\hufovora.dll
    162. 2009-03-14 14:17 20 ----h--- c:\docume~1\alluse~1\applic~1\PKP_DLdw.DAT
    163. 2009-03-14 14:15 20 ----h--- c:\docume~1\alluse~1\applic~1\PKP_DLdu.DAT
    164. 2009-02-06 19:52 49,504 a------- c:\windows\system32\sirenacm.dll
    165. 1601-01-01 02:12 47,616 a--sh--- c:\windows\system32\gayujoje.dll
    166. 1601-01-01 02:12 47,616 a--sh--- c:\windows\system32\majiriho.dll
    167. 1601-01-01 02:12 47,616 a--sh--- c:\windows\system32\tikiyabu.dll
    168.  
    169. ============= FINISH: 13:10:04,92 ===============
    m
    0
    l
    29 Mars 2009 13:29:19

    Re,

    Tu n'as pas un OS légitime... non parce que ça sert à rien de désinfecter un OS cracké, tu seras constamment réinfecté :/ 
    m
    0
    l
    29 Mars 2009 14:42:42

    Re,

    Je suis prêt à prendre le risque ;) 

    D'ailleurs, il a très bien fonctionné jusque tout récemment. Je crois plutôt à une action quelconque (installation de pseudo-freeware) qui a dû faire rentrer le premier malware et foutre le boxon comme ça!

    Merci de ton aide.
    m
    0
    l
    14 Avril 2009 15:02:38

    Egwene a dit :
    Re,

    Tu n'as pas un OS légitime... non parce que ça sert à rien de désinfecter un OS cracké, tu seras constamment réinfecté :/ 

    _________________________________________________________
    j'ai les mêmes symptômes que Bercadille, et je tourne sous XP tout ce qu'il y a de légal.
    As-tu déjà rencontré le Pb ?
    merci
    José
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS