Se connecter / S'enregistrer
Votre question

Pas moyen de se débarasser de yivozizi dans la BDR !

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Décembre 2008 03:23:55

Bonjour !

Ne rigolez pas, j'ai chopé un bazar nommé "yivozizi.dll" (c'est pas une MST !)détecté par HiJackThis, j'ai voulu l'éradiquer, il m'a bien retiré la dll mais pas nettoyé les clés de registre où il s'est inscrit ! En fait il les nettoie mais à chaque fois qu'on arrête et qu'on rallume le PC, il ré-écrit ces clés de registre indésirables (je suis allé les modifier à la main, j'en ai retouvé des toutes neuves avec les bonnes syntaxes à l'allumage suivant !).

CCleaner n'a pas fait mieux !

En fait ça n'est pas trop gênant mais j'ai une fenêtre au démarrage qui me dit que la dll est manquante...

Allez, qui m'aide ? Voici un HiJackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:22:08, on 10/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\Program Files\Hercules\WiFi Station\WifiStation.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Download\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O2 - BHO: (no name) - {f6f36f9f-0796-4f10-a638-043beeea9890} - C:\WINDOWS\system32\rotirufe.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LoLdiyizudagu] Rem Rundll32.exe "C:\WINDOWS\system32\yivozizi.dll",s
O4 - HKLM\..\Run: [diyizudagu] Rundll32.exe "C:\WINDOWS\system32\yivozizi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [Loldiyizudagu] Rem Rundll32.exe "C:\WINDOWS\system32\yivozizi.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [diyizudagu] Rundll32.exe "C:\WINDOWS\system32\yivozizi.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WiFi Station.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://notesmpcl1.pb.com/iNotes6W.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{8835D500-DEAE-4275-ADE0-BD62090E7FC5}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\gayujoje.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 6874 bytes


Merci d'avance !
Jean-Bernard

Autres pages sur : moyen debarasser yivozizi bdr

a b 8 Sécurité
10 Décembre 2008 12:40:15

Bonjour,

[#ff0000]! Désactive tes protections résidentes (antivirus, Spybot-S&D, etc.) ![/#f]

  • Télécharge ComboFix ([#ff0000]sUBs[/#f]) sur ton Bureau.
  • Double clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\combofix.txt*) dans ta prochaine réponse.

    AIDE : Un guide et un tutoriel sur l'utilisation de ComboFix
    * le nom de la partition peut changer
    11 Décembre 2008 01:00:39

    Bonjour, j'ai suivi pas à pas le tuto ComboFix, les téléchargements sont OK et sur le bureau.

    J'ai fait le process glisser-déplacer pour installer la console de récupération (suivi du tuto), là, la fenêtre bleue avec le curseur s'ouvre, puis plus rien ne se passe.... pendant des heures. Je l'ai fermée, ai éteint-rallumé le PC, ré-essayé : pareil.

    J'ai donc éteint-rallumé et tenté de lancer ComboFix sans que l'installation de la console de récupération n'ait été faite, et là, le petit curseur Combo apparait puis disparait..... puis plus rien pendant des heures ! Rien ne se lance...

    Au passage, le message d'erreur sur yivozizi n'apparait plus, j'ai visité la base de registres, une nouvelle dll est pointée et les clés ont été adaptées, la navigation rame grave sur certaines pages (pas toutes), et j'ai des fenêtres intempestives qui sont appelées mais n'arrrivent pas à se charger...

    Help, merci !
    Jean-Bernard
    a b 8 Sécurité
    11 Décembre 2008 13:23:48

    Tu as le rapport Combofix ?
    11 Décembre 2008 16:52:17

    Bonjour Angeldark...

    Mon précédent post indiquait que ComboFix refusait de se lancer... donc pas de rapport !

    Je viens de ré-essayer et c'est passé, installation de la console et exécution de ComboFix... voici le rapport :

    ComboFix 08-12-09.03 - Main User 2008-12-11 16:33:24.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.647 [GMT 1:00]
    Lancé depuis: c:\documents and settings\Main User\Bureau\ComboFix.exe
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\system32\Cache
    c:\windows\system32\hulawira.dll

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-11 au 2008-12-11 ))))))))))))))))))))))))))))))))))))
    .

    2008-12-10 22:52 . 2008-12-10 22:52 410,984 --a------ c:\windows\system32\deploytk.dll
    2008-12-09 11:17 . 2008-12-09 11:17 <REP> d-------- c:\program files\CCleaner
    2008-12-05 12:55 . 2008-12-05 12:55 <REP> d-------- c:\documents and settings\LocalService\Application Data\Softland
    2008-12-05 11:54 . 2008-12-05 11:54 <REP> d-------- c:\program files\Softland
    2008-12-05 11:54 . 2008-12-02 12:11 20,632 --a------ c:\windows\system32\dopdfmn6.dll
    2008-12-05 11:54 . 2008-12-02 12:11 18,072 --a------ c:\windows\system32\dopdfmi6.dll
    2008-12-05 11:54 . 2008-10-13 15:23 7,533 --a------ c:\windows\system32\dopdf6.ctm
    2008-12-04 10:50 . 2008-12-04 10:50 <REP> d--h----- c:\windows\system32\GroupPolicy
    2008-12-02 21:59 . 2008-12-02 21:59 385 --a------ c:\windows\ODBC.INI
    2008-12-02 21:58 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll
    2008-12-02 21:57 . 2008-12-02 21:57 <REP> d-------- c:\program files\Microsoft.NET
    2008-12-02 21:55 . 2008-12-02 21:57 <REP> d-------- c:\windows\SHELLNEW
    2008-12-02 21:55 . 2008-12-02 21:55 <REP> d-------- c:\program files\Microsoft Works
    2008-12-02 21:52 . 2008-12-02 21:52 <REP> dr-h----- C:\MSOCache
    2008-12-01 09:45 . 2008-12-10 00:30 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
    2008-12-01 09:45 . 2008-12-01 09:45 <REP> d-------- c:\documents and settings\Main User\Application Data\Malwarebytes
    2008-12-01 09:45 . 2008-12-01 09:45 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
    2008-12-01 09:45 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
    2008-12-01 09:45 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
    2008-11-29 10:32 . 2008-11-29 10:32 <REP> d-------- c:\windows\IIS Temporary Compressed Files
    2008-11-29 10:30 . 2008-11-29 10:32 <REP> d-------- C:\Inetpub
    2008-11-21 01:04 . 2008-11-21 01:57 <REP> d-------- c:\program files\EPSON
    2008-11-21 00:03 . 2008-11-21 00:03 <REP> d-------- C:\EPSON
    2008-11-21 00:03 . 2001-05-21 02:16 61,598 --a------ c:\windows\system32\EBPMON2.DLL
    2008-11-18 01:17 . 2008-12-06 05:21 <REP> d-------- c:\documents and settings\Main User\Application Data\gtk-2.0
    2008-11-18 01:16 . 2008-11-18 01:16 <REP> d-------- c:\documents and settings\Main User\.thumbnails
    2008-11-18 01:15 . 2008-12-06 05:21 <REP> d-------- c:\documents and settings\Main User\.gimp-2.6
    2008-11-18 01:15 . 2008-11-18 01:15 <REP> d-------- c:\documents and settings\Main User\.gegl-0.0
    2008-11-18 01:14 . 2008-11-18 01:14 <REP> d-------- c:\program files\Gimp-2.0
    2008-11-13 02:36 . 2008-09-04 18:16 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
    2008-11-13 02:36 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-12-11 15:23 --------- d-----w c:\documents and settings\Main User\Application Data\Skype
    2008-12-11 15:22 --------- d-----w c:\documents and settings\Main User\Application Data\skypePM
    2008-12-11 15:21 --------- d-----w c:\documents and settings\Main User\Application Data\OpenOffice.org2
    2008-12-10 21:52 --------- d-----w c:\program files\Java
    2008-11-24 07:43 --------- d-----w c:\program files\eMule
    2008-11-10 13:17 --------- d-----w c:\program files\NCH Swift Sound
    2008-10-31 02:32 --------- d-----w c:\documents and settings\All Users\Application Data\NCH Swift Sound
    2008-10-31 01:07 --------- d-----w c:\program files\NCH Software
    2008-10-31 01:07 --------- d-----w c:\documents and settings\Main User\Application Data\Recordpad
    2008-10-31 01:07 --------- d-----w c:\documents and settings\Main User\Application Data\NCH Swift Sound
    2008-10-31 00:51 --------- d-----w c:\program files\Ahead
    2008-10-30 22:55 --------- d-----w c:\program files\Fichiers communs\Nero
    2008-10-30 22:52 --------- d-----w c:\documents and settings\All Users\Application Data\Ahead
    2008-10-30 22:47 --------- d-----w c:\documents and settings\Main User\Application Data\Ahead
    2008-10-30 22:44 --------- d-----w c:\documents and settings\Main User\Application Data\Simple Star
    2008-10-29 07:25 --------- d-----w c:\program files\Windows Media Connect 2
    2008-10-26 14:13 --------- d-----w c:\program files\Skype
    2008-10-26 14:13 --------- d-----w c:\program files\Google
    2008-10-26 14:13 --------- d-----w c:\program files\Fichiers communs\Skype
    2008-10-26 14:13 --------- d-----w c:\documents and settings\All Users\Application Data\Skype
    2008-10-25 02:06 --------- d-----w c:\program files\K1RFD
    2008-10-25 01:23 --------- d--h--w c:\program files\InstallShield Installation Information
    2008-10-25 01:23 --------- d-----w c:\program files\Fichiers communs\InstallShield
    2008-10-25 00:31 --------- d-----w c:\program files\Hercules
    2008-10-24 23:29 --------- d-----w c:\program files\Alwil Software
    2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
    2008-10-23 00:28 --------- d-----w c:\documents and settings\All Users\Application Data\ma-config.com
    2008-10-22 21:40 --------- d-----w c:\program files\MSI
    2008-10-22 21:18 --------- d-----w c:\documents and settings\Main User\Application Data\AdobeUM
    2008-10-21 07:40 --------- d-----w c:\program files\Realtek AC97
    2008-10-21 07:25 --------- d-----w c:\program files\C-Media
    2008-10-21 06:47 21,419 ----a-w c:\windows\system32\drivers\AegisP.sys
    2008-10-21 06:47 --------- d-----w c:\documents and settings\Main User\Application Data\InstallShield
    2008-10-21 06:38 --------- d-----w c:\program files\OpenOffice.org 2.4
    2008-10-21 06:38 --------- d-----w c:\program files\Fichiers communs\Java
    2008-10-21 06:35 --------- d-----w c:\program files\Elecard MPEG2 Player V1.30
    2008-10-21 06:34 --------- d-----w c:\program files\Ligos
    2008-10-21 06:32 --------- d-----w c:\program files\The Playa
    2008-10-21 06:32 --------- d-----w c:\program files\DivXCodec
    2008-10-21 06:26 --------- d-----w c:\program files\Fichiers communs\Adobe
    2008-10-21 06:02 558,142 ----a-w c:\windows\java\Packages\EPJHZF13.ZIP
    2008-10-21 06:02 155,995 ----a-w c:\windows\java\Packages\B7RLNF5F.ZIP
    2008-10-21 06:02 --------- d-----w c:\program files\microsoft frontpage
    2008-10-21 05:59 --------- d-----w c:\program files\Services en ligne
    2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
    2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
    2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
    2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
    2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
    2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
    2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
    2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
    2008-09-15 15:26 1,846,528 ----a-w c:\windows\system32\win32k.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
    "Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-09-29 21755688]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-11-17 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Main User\Menu D‚marrer\Programmes\D‚marrage\
    OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    CoreCenter.lnk - c:\program files\MSI\Core Center\CoreCenter.exe [2008-10-22 931840]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    WiFi Station.lnk - c:\program files\Hercules\WiFi Station\WifiStation.exe [2008-10-21 654336]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "msacm.g723"= g723.acm
    "vidc.I263"= I263_32.drv

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "UpdatesDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Hercules\\Classic Link\\Station2.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\K1RFD\\EchoLink\\EchoLink.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\WINDOWS\\system32\\inetsrv\\inetinfo.exe"=
    "c:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe"=
    "c:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"=
    "c:\\Program Files\\MSI\\Core Center\\CoreCenter.exe"=
    "c:\\Program Files\\Hercules\\WiFi Station\\WiFiStation.exe"=
    "c:\\WINDOWS\\soundman.exe"=
    "c:\\Program Files\\Alwil Software\\Avast4\\ashDisp.exe"=
    "c:\\WINDOWS\\system32\\services.exe"=
    "c:\\Program Files\\Alwil Software\\Avast4\\ashMaiSv.exe"=
    "c:\\WINDOWS\\system32\\spoolsv.exe"=
    "c:\\Program Files\\Fichiers communs\\Microsoft Shared\\VS7DEBUG\\MDM.EXE"=
    "c:\\Program Files\\Java\\jre6\\bin\\jqs.exe"=
    "c:\\Program Files\\Alwil Software\\Avast4\\ashServ.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-10-25 111184]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-10-25 20560]
    R3 camfilt2;camfilt2;c:\windows\system32\DRIVERS\camfilt2.sys [2008-10-25 98432]
    R3 PAC7302;Hercules Classic Link;c:\windows\system32\DRIVERS\PAC7302.SYS [2008-10-25 457984]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47f677a3-c34b-11dd-ae4c-0008d328f4f7}]
    \Shell\AutoRun\command - E:\InstallTomTomHOME.exe

    *Newly Created Service* - PROCEXP90
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-Cmaudio - cmicnfg.cpl


    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    TCP: {8835D500-DEAE-4275-ADE0-BD62090E7FC5} = 192.168.1.1

    O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

    O16 -: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
    c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
    FireFox -: Profile - c:\documents and settings\Main User\Application Data\Mozilla\Firefox\Profiles\6skibpe8.default\
    FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.ebay.fr/?mfe=browserbutton
    FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
    .

    **************************************************************************

    catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-12-11 16:34:42
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    Heure de fin: 2008-12-11 16:35:44
    ComboFix-quarantined-files.txt 2008-12-11 15:35:20

    Avant-CF: 310 268 866 560 octets libres
    Après-CF: 310,263,296,000 octets libres

    WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

    192 --- E O F --- 2008-11-30 22:55:46

    Certaines fenêtres web sont encore très lentes, en particulier celle "sécurisées" (https...).
    Merci d'avance de ton aide,
    Cordialement,
    Jean-Bernard
    a b 8 Sécurité
    12 Décembre 2008 17:43:36

    Reposte un rapport Hijackthis.
    13 Décembre 2008 00:25:30

    Que voici :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 00:23:33, on 13/12/2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16735)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\inetsrv\inetinfo.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\Program Files\MSI\Core Center\CoreCenter.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    C:\Program Files\Hercules\WiFi Station\WifiStation.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
    C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\Skype\Plugin Manager\skypePM.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Download\HiJackThis\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
    O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: WiFi Station.lnk = ?
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://notesmpcl1.pb.com/iNotes6W.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8835D500-DEAE-4275-ADE0-BD62090E7FC5}: NameServer = 192.168.1.1
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

    --
    End of file - 6288 bytes


    Merci de ton aide !
    Jean-Bernard
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS