Votre question

VBS:Malware-gen

Tags :
  • Malware
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Juin 2008 22:03:41

Bonjour à tous,

j'ai un souci depuis hier avast ne fait que de détecter le ver VBS:Malware-gen malgré l'avoir mis en quarantaine ou le sup, ca n'arrête pas de s'afficher... je sais pas quoi faire si vous pouvier m'aider :sweat: 

(ps: expliquer moi bien svp ^^ chui pas une bête en informatique mervi d'avance)

Autres pages sur : vbs malware gen

4 Juin 2008 12:39:39

j'ai fé sa avec hijackthis, je vous donne le rapport :

Logfile of HijackThis v1.99.1
Scan saved at cß!o? 12:35:57, on 04/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\program files\valve\steam\steam.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\sysregi.exe
C:\WINDOWS\ehSched.exe
C:\WINDOWS\scvhost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Documents and Settings\adrien\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
O4 - HKLM\..\Run: [MSN] scvhost.exe
O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [cembcla] c:\documents and settings\adrien\local settings\application data\cembcla.exe cembcla
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/hardwaredetectio...
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
4 Juin 2008 17:28:12

Bonjour,

Télécharge SDFix (d’Andy Manchesta)

  • Enregistre le sur ton le bureau.
  • Lance le.
  • Fais install afin qu’il puisse s’extraire.
    Redémarre en mode sans échec
    /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\
  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\
  • Double clique sur RunThis.bat (L’extension bat peut ne pas apparaître)
  • Appuie sur Y pour le lancer.
  • Il te sera demandé d'appuyer sur une touche pour redemarrer , fais le
  • Il est probable que le redémarrage soit un peu plus long que d’habitude.
  • Une fois l’apparition de ton Bureau, il affichera Finished
  • Appuie sur une touche.
  • Un rapport est généré , poste le dans ta réponse.

    Il se trouve également. dans le dossier SDFix >Report.txt<
    Contenus similaires
    4 Juin 2008 22:40:21

    Merci d'avoir répondu :)  Voilà le rapport, j'ai tout collé ^^ et je sais pas si c'est fini mais avast ne m'a pas signaler le virus pour l'instant ^^ et je peu supprimer SDFix maintenant?


    SDFix: Version 1.187
    Run by adrien on 04/06/2008 at cá!o? 22:15

    Microsoft Windows XP [version 5.1.2600]
    Running From: C:\SDFix

    Checking Services :


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File

    Rebooting


    Checking Files :

    Trojan Files Found:

    C:\Documents and Settings\adrien\Local Settings\Temp\aax4C.tmp.exe - Deleted
    C:\DOCUME~1\adrien\LOCALS~1\Temp\GLF1E.tmp.dll - Deleted
    C:\DOCUME~1\adrien\LOCALS~1\Temp\GLF318.tmp.dll - Deleted
    C:\DOCUME~1\adrien\LOCALS~1\Temp\GLF68A.tmp.dll - Deleted
    C:\DOCUME~1\adrien\LOCALS~1\Temp\GLF8B.tmp.dll - Deleted
    C:\WINDOWS\images.zip - Deleted
    C:\WINDOWS\scvhost.exe - Deleted





    Removing Temp Files

    ADS Check :



    Final Check :

    catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-04 22:30:30
    Windows 5.1.2600 Service Pack 2 NTFS

    scanning hidden processes ...

    scanning hidden services & system hive ...

    scanning hidden registry entries ...

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
    "TracesProcessed"=dword:0000004f
    "TracesSuccessful"=dword:00000006

    scanning hidden files ...

    scan completed successfully
    hidden processes: 0
    hidden services: 0
    hidden files: 0


    Remaining Services :




    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\condition zero\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\condition zero\\hl.exe:*:Enabled:Half-Life Launcher"
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hl.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
    "C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
    "C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"
    "C:\\Program Files\\HLSW\\hlsw.exe"="C:\\Program Files\\HLSW\\hlsw.exe:*:Enabled:HLSW"
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hltv\\hltv.exe"="C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hltv\\hltv.exe:*:Enabled:HLTV Launcher"
    "C:\\Program Files\\Teamspeak2_RC2\\TeamSpeak.exe"="C:\\Program Files\\Teamspeak2_RC2\\TeamSpeak.exe:*:Enabled:Teamspeak RC2"
    "C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"="C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
    "C:\\Documents and Settings\\adrien\\Local Settings\\Temporary Internet Files\\Content.IE5\\D8NNFHW0\\WoW-frFR-Installer-downloader[1].exe"="C:\\Documents and Settings\\adrien\\Local Settings\\Temporary Internet Files\\Content.IE5\\D8NNFHW0\\WoW-frFR-Installer-downloader[1].exe:*:Enabled:Blizzard Downloader"
    "C:\\RStrike\\romustrike.exe"="C:\\RStrike\\romustrike.exe:*:D isabled:romustrike"
    "C:\\WINDOWS\\system32\\dpnsvr.exe"="C:\\WINDOWS\\system32\\dpnsvr.exe:*:D isabled:Microsoft DirectPlay8 Server"
    "C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"="C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe:*:Enabled:Blizzard Downloader"
    "C:\\Program Files\\Valve\\Steam\\steam.exe"="C:\\Program Files\\Valve\\Steam\\steam.exe:*:Enabled:Steam"
    "C:\\Documents and Settings\\laurence\\Local Settings\\Temporary Internet Files\\Content.IE5\\KP6BGLQZ\\incredimail_install[1].exe"="C:\\Documents and Settings\\laurence\\Local Settings\\Temporary Internet Files\\Content.IE5\\KP6BGLQZ\\incredimail_install[1].exe:*:Enabled:IncrediMail Installer"
    "C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"="C:\\Program Files\\IncrediMail\\bin\\ImApp.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"="C:\\Program Files\\IncrediMail\\bin\\IncMail.exe:*:Enabled:IncrediMail"
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"="C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"
    "C:\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe"="C:\\wamp\\bin\\apache\\apache2.2.6\\bin\\httpd.exe:*:Enabled:Apache HTTP Server"
    "C:\\Program Files\\World of Warcraft\\Repair.exe"="C:\\Program Files\\World of Warcraft\\Repair.exe:*:Enabled:Blizzard Repair Utility"
    "C:\\WINDOWS\\system32\\rtcshare.exe"="C:\\WINDOWS\\system32\\rtcshare.exe:*:Enabled:p artage de l'application RTC"
    "C:\\Program Files\\NetMeeting\\conf.exe"="C:\\Program Files\\NetMeeting\\conf.exe:*:Enabled:Windows© NetMeeting©"
    "ˆâ'|˜?'|˜˜˜˜d"="ˆâ'|˜?'|˜˜˜˜d:*:Enabled:Nod32 Runtime"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe:*:Enabled:Assistance … distance - Windows Messenger et voix"
    "DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~""="DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~":*:Enabled:Nod32 Runtime"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

    Remaining Files :


    File Backups: - C:\SDFix\backups\backups.zip

    Files with Hidden Attributes :

    Mon 2 Jun 2008 53,252 ..SHR --- "C:\WINDOWS\ehSched.exe"
    Wed 13 Jun 2007 174,592 ..SHR --- "C:\WINDOWS\system32\sysregi.exe"
    Wed 16 May 2007 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
    Tue 21 Aug 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
    Tue 23 Oct 2007 15,394,248 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\14de9ff37c6b4e4eea2b0481a107ae59\BIT3F.tmp"
    Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\24af2a69c06a4de03e35dc89d706475f\BIT33A.tmp"
    Wed 26 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3baf18ad8b1aef3a4fc43c15f7b3a2c9\BIT303.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\44c6381ee708f24459b8abd390de19fc\BIT49.tmp"
    Wed 26 Mar 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\771350e502329b319ea4189fe126f571\BIT302.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\813a989071c1720c8fca52f421b7b9e5\BIT4A.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a3debb4e9e3b20d27b1821077eb58bad\BIT42.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ba502b35f31a2bf19a595db79d7bef15\BIT45.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bb90dbe09191684047872513e6885070\BIT4C.tmp"
    Tue 23 Oct 2007 8,706,680 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d20174378a49939f5f8825cfb630e979\BIT41.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d92c462d05652e1246e67f0b8524027c\BIT47.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\09d89c4f86a37cea40e36ccd20da027b\download\BIT4E.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0ec11185f55e56bbf8143a0782f17c59\download\BIT4F.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\171d2120022f92869484c921d3263cc3\download\BIT4D.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7bd07c1089c2af7712a37e4bc06b52c1\download\BIT50.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\84fbc956da54d159058962d983555052\download\BIT51.tmp"
    Tue 23 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b8ac6274ac8ad7e4b0febe55aca1e516\download\BIT52.tmp"

    Finished!

    5 Juin 2008 07:07:21

    Ok, poste un nouveau rapport HijackThis.
    5 Juin 2008 14:59:47

    Voilà le rapport

    Logfile of HijackThis v1.99.1
    Scan saved at cß!o? 14:58:28, on 05/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\program files\valve\steam\steam.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\sysregi.exe
    C:\WINDOWS\ehSched.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\Windows Live\Messenger\usnsvc.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\HP\HP Software Update\HPWUCli.exe
    C:\Documents and Settings\adrien\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe
    O4 - HKLM\..\Run: [Nod32 Runtime] sysregi.exe
    O4 - HKLM\..\RunServices: [Nod32 Runtime] sysregi.exe
    O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [cembcla] c:\documents and settings\adrien\local settings\application data\cembcla.exe cembcla
    O4 - HKCU\..\RunOnce: [HPSoftwareUpdate] C:\Program Files\HP\HP Software Update\HPWUCli.exe
    O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.ca...
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://www.touslesdrivers.com/fichiers/hardwaredetectio...
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

    5 Juin 2008 19:02:36

    Re,

    Télécharge ComboFix (de sUBs) sur ton Bureau.

  • Désactive temporairement toute protection résidente ! (Antivirus, antispywares..)
  • Double clique sur ComboFix.exe.
  • Accepte la licence en cliquant sur Oui.
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Poste ce rapport dans ta prochaine réponse.

    Le rapport se trouve ici : %systemdrive%\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C:\ en général)

    Aide : Comment utiliser ComboFix.
    5 Juin 2008 21:03:21

    Voilà je crois que le rapport c sa

    ComboFix 08-06-05.3 - adrien 2008-06-05 20:50:28.1 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.615 [GMT 2:00]
    Endroit: C:\Documents and Settings\adrien\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Documents and Settings\adrien\Application Data\macromedia\Flash Player\#SharedObjects\R3QNUA5E\iforex.com
    C:\Documents and Settings\adrien\Application Data\macromedia\Flash Player\#SharedObjects\R3QNUA5E\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
    C:\Documents and Settings\adrien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
    C:\Documents and Settings\adrien\Application Data\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
    C:\Documents and Settings\adrien\Local Settings\Application Data\cembcla.dat
    c:\Documents and Settings\adrien\Local Settings\Application Data\cembcla_nav.dat
    c:\Documents and Settings\adrien\Local Settings\Application Data\cembcla_navps.dat
    C:\Documents and Settings\laurence\Local Settings\Application Data\nihwpeex.dat
    C:\Documents and Settings\laurence\Local Settings\Application Data\nihwpeex_nav.dat
    C:\Documents and Settings\laurence\Local Settings\Application Data\nihwpeex_navps.dat
    C:\WINDOWS\059573.exe
    C:\WINDOWS\203932.exe
    C:\WINDOWS\203937.exe
    C:\WINDOWS\system32\nvs2.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-05-05 to 2008-06-05 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-05 15:08 . 2008-06-05 15:08 53,252 --a------ C:\Loveits.exe
    2008-06-04 21:57 . 2008-06-04 21:57 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-04 21:46 . 2008-06-01 19:13 <REP> d-------- C:\SDFix
    2008-06-03 21:56 . 2008-06-03 22:04 417,792 --a------ C:\WINDOWS\39382.got
    2008-06-03 15:19 . 2008-06-03 15:33 174,592 --a------ C:\WINDOWS\sysutili.exe
    2008-06-03 15:19 . 2008-06-03 15:19 61,444 --a------ C:\WINDOWS\ssehost.exe
    2008-06-02 23:16 . 2008-06-03 14:40 61,444 --a------ C:\WINDOWS\sshost.exe
    2008-06-02 18:31 . 2008-06-02 19:16 65,536 --a------ C:\WINDOWS\sysys.exe
    2008-06-02 16:35 . 2008-06-02 16:35 65,536 --a------ C:\WINDOWS\scvhost.MSNFix
    2008-06-02 16:35 . 2008-06-03 14:40 61,566 --a------ C:\WINDOWS\images.MSNFix
    2008-06-02 11:51 . 2008-06-02 11:50 53,252 -r-hs---- C:\WINDOWS\ehSched.exe
    2008-05-26 18:25 . 2008-05-26 18:25 <REP> d-------- C:\wally
    2008-05-08 21:30 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-04 14:03 --------- d-----w C:\Program Files\eMule
    2008-06-03 12:19 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-06-03 12:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-06-02 15:00 --------- d-----w C:\Program Files\World of Warcraft
    2008-05-08 19:30 --------- d-----w C:\Program Files\Java
    2008-05-03 14:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-03 14:39 --------- d-----w C:\Program Files\Cyberlink
    2008-05-02 09:45 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
    2008-05-02 09:45 253,952 ------w C:\WINDOWS\Setup1.exe
    2008-04-28 16:09 --------- d-----w C:\Documents and Settings\adrien\Application Data\LimeWire
    2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
    2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
    2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
    2007-06-13 13:22 174,592 --sh--r C:\WINDOWS\system32\sysregi.exe
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "Steam"="c:\program files\valve\steam\steam.exe" [2008-03-28 17:08 1271032]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\soundman.exe]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]
    "Windows UDP Control Center"="ehSched.exe" [2008-06-02 11:50 53252 C:\WINDOWS\ehSched.exe]
    "Nod32 Runtime"="sysregi.exe" [2007-06-13 15:22 174592 C:\WINDOWS\system32\sysregi.exe]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Nod32 Runtime"="sysregi.exe" [2007-06-13 15:22 174592 C:\WINDOWS\system32\sysregi.exe]

    C:\Documents and Settings\adrien\Menu D‚marrer\Programmes\D‚marrage\
    MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-24 16:41:47 cá!o? 4574208]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-10 21:16:22 cá!o? 113664]
    D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 19:50:52 cá!o? 53248]
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24 cá!o? 258048]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\condition zero\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hl.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\mIRC\\mirc.exe"=
    "C:\\Program Files\\HLSW\\hlsw.exe"=
    "C:\\Program Files\\Teamspeak2_RC2\\TeamSpeak.exe"=
    "C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
    "C:\\WINDOWS\\system32\\dpnsvr.exe"=
    "C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
    "C:\\Program Files\\Valve\\Steam\\steam.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
    "C:\\Program Files\\World of Warcraft\\Repair.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\NetMeeting\\conf.exe"=
    "êÔ‘|ÿ€’|ÿÿÿÿdü"= êÔ‘|ÿ€’|ÿÿÿÿdü:Nod32 Runtime
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~ӟ"=
    "C:\\WINDOWS\\system32\\sysregi.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
    "8085:TCP"= 8085:TCP:1
    "8085:UDP"= 8085:UDP:2
    "80:TCP"= 80:TCP:3
    "80:UDP"= 80:UDP:4
    "3306:TCP"= 3306:TCP:5
    "3306:UDP"= 3306:UDP:6
    "3427:TCP"= 3427:TCP:7
    "3427:UDP"= 3427:UDP:8
    "8080:TCP"= 8080:TCP:11
    "8080:UDP"= 8080:UDP:12
    "3724:UDP"= 3724:UDP:10

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2004-11-18 14:36]

    *Newly Created Service* - PML_DRIVER_HPZ12
    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-06-04 12:32:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-05 20:57:36
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-05 20:58:31
    ComboFix-quarantined-files.txt 2008-06-05 18:58:20

    Pre-Run: 126,428,041,216 octets libres
    Post-Run: 127,974,207,488 octets libres

    142 --- E O F --- 2008-05-17 01:05:28
    6 Juin 2008 07:11:00

    Re,

    Sélectionne l'intégralité du cadre ci-dessous :

    Collect::
    C:\WINDOWS\system32\sysregi.exe
    C:\WINDOWS\ehSched.exe
    C:\Loveits.exe
    C:\WINDOWS\39382.got
    C:\WINDOWS\sysutili.exe
    C:\WINDOWS\ssehost.exe
    C:\WINDOWS\sshost.exe
    C:\WINDOWS\sysys.exe

    File::
    C:\WINDOWS\scvhost.MSNFix
    C:\WINDOWS\images.MSNFix

    Registry::
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "ˆâ'|˜?'|˜˜˜˜d"=-
    "DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~""=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"=-
    "Windows UDP Control Center"=-
    "Nod32 Runtime"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Nod32 Runtime"=-
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "êÔ‘|ÿ€’|ÿÿÿÿdü"=-
    "DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}-ӟ"=-
    "C:\\WINDOWS\\system32\\sysregi.exe"=-


    Cela va relancer Combofix. Après redémarrage, poste le contenu du rapport ComboFix.txt.
    S'il n'y a pas de rédémarrage, poste quand même le rapport.

  • Copie/colle le dans le Bloc Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
  • Enregistre le sous sur ton bureau sous le nom de CFScript.txt
  • Glisse maintenant le fichier CFScript.txt dans ComboFix.exe comme ci-dessous :

  • Cela va relancer Combofix. Poste le contenu du rapport ComboFix.txt après redémarrage s'il y en a un.
    6 Juin 2008 14:21:15

    ComboFix 08-06-05.3 - adrien 2008-06-06 14:13:58.2 - NTFSx86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.621 [GMT 2:00]
    Endroit: C:\Documents and Settings\adrien\Bureau\ComboFix.exe
    Command switches used :: C:\Documents and Settings\adrien\Bureau\CFScript.txt
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

    FILE ::
    C:\WINDOWS\images.MSNFix
    C:\WINDOWS\scvhost.MSNFix
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\Loveits.exe
    C:\WINDOWS\39382.got
    C:\WINDOWS\ehSched.exe
    C:\WINDOWS\images.MSNFix
    C:\WINDOWS\scvhost.MSNFix
    C:\WINDOWS\ssehost.exe
    C:\WINDOWS\sshost.exe
    C:\WINDOWS\system32\sysregi.exe
    C:\WINDOWS\sysutili.exe
    C:\WINDOWS\sysys.exe

    .
    ((((((((((((((((((((((((((((( Fichiers créés 2008-05-06 to 2008-06-06 ))))))))))))))))))))))))))))))))))))
    .

    2008-06-04 21:57 . 2008-06-04 21:57 <REP> d-------- C:\WINDOWS\ERUNT
    2008-06-04 21:46 . 2008-06-01 19:13 <REP> d-------- C:\SDFix
    2008-05-26 18:25 . 2008-05-26 18:25 <REP> d-------- C:\wally
    2008-05-08 21:30 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-06-04 14:03 --------- d-----w C:\Program Files\eMule
    2008-06-03 12:19 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-06-03 12:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-06-02 15:00 --------- d-----w C:\Program Files\World of Warcraft
    2008-05-08 19:30 --------- d-----w C:\Program Files\Java
    2008-05-03 14:39 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-03 14:39 --------- d-----w C:\Program Files\Cyberlink
    2008-05-02 09:45 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
    2008-05-02 09:45 253,952 ------w C:\WINDOWS\Setup1.exe
    2008-04-28 16:09 --------- d-----w C:\Documents and Settings\adrien\Application Data\LimeWire
    2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
    2008-03-25 04:51 194,144 ----a-w C:\WINDOWS\system32\msjint40.dll
    2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
    .

    ((((((((((((((((((((((((((((( snapshot@2008-06-05_20.58.13,10 )))))))))))))))))))))))))))))))))))))))))
    .
    - 2008-06-05 12:46:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-06 12:04:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
    + 2008-06-06 12:04:22 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6bc.dat
    .
    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "Steam"="c:\program files\valve\steam\steam.exe" [2008-03-28 17:08 1271032]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]

    C:\Documents and Settings\adrien\Menu D‚marrer\Programmes\D‚marrage\
    MSN Pictures Displayer.lnk - C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe [2007-05-24 16:41:47 cá!o? 4574208]

    C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    Adobe Gamma Loader.lnk - C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2007-12-10 21:16:22 cá!o? 113664]
    D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 19:50:52 cá!o? 53248]
    HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24 cá!o? 258048]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\LimeWire\\LimeWire.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\condition zero\\hl.exe"=
    "C:\\Program Files\\Valve\\Steam\\SteamApps\\dj_cbios\\counter-strike\\hl.exe"=
    "C:\\Program Files\\eMule\\emule.exe"=
    "C:\\Program Files\\mIRC\\mirc.exe"=
    "C:\\Program Files\\HLSW\\hlsw.exe"=
    "C:\\Program Files\\Teamspeak2_RC2\\TeamSpeak.exe"=
    "C:\\Program Files\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
    "C:\\WINDOWS\\system32\\dpnsvr.exe"=
    "C:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"=
    "C:\\Program Files\\Valve\\Steam\\steam.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\ImApp.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\IncMail.exe"=
    "C:\\Program Files\\IncrediMail\\bin\\ImpCnt.exe"=
    "C:\\Program Files\\World of Warcraft\\Repair.exe"=
    "C:\\WINDOWS\\system32\\rtcshare.exe"=
    "C:\\Program Files\\NetMeeting\\conf.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
    "DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~ӟ"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
    "8085:TCP"= 8085:TCP:1
    "8085:UDP"= 8085:UDP:2
    "80:TCP"= 80:TCP:3
    "80:UDP"= 80:UDP:4
    "3306:TCP"= 3306:TCP:5
    "3306:UDP"= 3306:UDP:6
    "3427:TCP"= 3427:TCP:7
    "3427:UDP"= 3427:UDP:8
    "8080:TCP"= 8080:TCP:11
    "8080:UDP"= 8080:UDP:12
    "3724:UDP"= 3724:UDP:10

    R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]
    R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]
    R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\WlanUIG.sys [2004-11-18 14:36]

    .
    Contenu du dossier 'Scheduled Tasks/Tâches planifiées'
    "2008-06-04 12:32:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
    - C:\Program Files\Apple Software Update\SoftwareUpdate.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-06-06 14:16:56
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cachés ...

    Balayage caché autostart entries ...

    Balayage des fichiers cachés ...

    Scan terminé avec succès
    Les fichiers cachés: 0

    **************************************************************************
    .
    Temps d'accomplissement: 2008-06-06 14:18:19
    ComboFix-quarantined-files.txt 2008-06-06 12:18:17
    ComboFix2.txt 2008-06-05 18:58:31

    Pre-Run: 127,984,025,600 octets libres
    Post-Run: 127,974,776,832 octets libres

    131 --- E O F --- 2008-05-17 01:05:28
    6 Juin 2008 17:50:38

    Re,

    Démarrer, exécuter, tape regedit, valide par entrée.
    Navigue jusqu'ici :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List
    Supprime cette valeur :
    DEFGHIJKLMNOPQRSTUVWXYZ[\\]^_`ABCDEFGHIJKLMNOPQRSTUVWXYZ{|}~ӟ
    Quelque chose qui y ressemble, d'aléatoire.

    Télécharge MsnFix (de !aur3n7) sur ton Bureau.

  • Dézippe le sur ton bureau.
  • Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)
  • Exécute l'option R.
  • Si l'infection est détectée, presse une touche pour lancer le Nettoyage. (N)
  • Si tu dois redémarrer l’ordinateur fais le manuellement.
  • Poste le rapport situé dans le dossier MSNFix.
  • Le nom du rapport correspond au moment de sa création : date_heure.log

    Note: Si tu obtiens un fichier zip d’upload sur ton bureau, merci de l'envoyer sur http://upload.changelog.fr
    Comment Uploader ?


    Aide : Comment utiliser MSNFix.
    8 Juin 2008 23:45:48

    Citation :
    Navigue jusqu'ici :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\parameters\firewallpolicy\standdardprofile\AuthorizedApplications\List


    Re, je bloque là ^^ ya pa parameters dans Services.
    9 Juin 2008 07:14:07

    Bon, tant pis, on va laisser tomber; bizarre ..

    Poste le rapport MSNFix ;) 
    9 Juin 2008 17:41:12

    MSNFix 1.720-1

    C:\Documents and Settings\adrien\Bureau\MSNFix\MSNFix
    Fix exécuté le 09/06/2008 - 17:26:56,23 By adrien
    mode normal

    ************************ Recherche les fichiers présents

    ... C:\WINDOWS\ehSched.exe

    ************************ Recherche les dossiers présents

    Aucun dossier trouvé




    ************************ Suppression des fichiers

    .. OK ... C:\WINDOWS\ehSched.exe



    ************************ Nettoyage du registre



    Les fichiers encore présents seront supprimés au prochain redémarrage


    Aucun Fichier trouvé



    ************************ Fichiers suspects

    Aucun Fichier trouvé


    Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 09062008_17311646.zip

    ************************ HKLM\...\Winlogon\Userinit

    Userinit = C:\WINDOWS\system32\userinit.exe,

    Important : http://msnfix.changelog.fr/index.php/2008/05/18/32-aler...


    ------------------------------------------------------------------------
    Auteur : !aur3n7 Contact: http://changelog.fr
    ------------------------------------------------------------------------

    --------------------------------------------- END ---------------------------------------------
    9 Juin 2008 18:46:32

    Re,

    Télécharge Navilog (de Il-Mafioso)

  • Enregistre-le sur ton Bureau.
  • Installe-le en double cliquant sur navilog.exe.
  • Une fois l'installation terminée, l'utilitaire s'exécutera automatiquement.
    (Si ce n'est pas le cas, double clique sur le raccourci présent sur le Bureau) [Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista)]
  • Laisse-toi guider par l'utilitaire. Choisis l'option 1 puis valide.
    ! N'utilise pas l'option 2,3 et 4 sans notre accord !
  • Patiente jusqu'à l'apparition de ce message :
    "*** Analyse Termine le ..... ***"
  • Appuie sur une touche comme demandé. Le Bloc-notes va s'ouvrir. Poste le rapport ici.
  • Poste le rapport généré.

    Le rapport se trouve ici : C:\fixnavi.txt

    Si tu as Vista, fais ceci avant :
    Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )
    9 Juin 2008 19:12:11

    Re,

    Search Navipromo version 3.5.8 commencé le 09/06/2008 à 18:52:56,87

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "adrien"

    Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO


    Microsoft Windows XP [version 5.1.2600]
    Internet Explorer : 6.0.2900.2180
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***


    *** Recherche dossiers dans "C:\WINDOWS" ***


    *** Recherche dossiers dans "C:\Program Files" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


    *** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\adrien\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\GUILLA~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\laurence\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\loriane\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\adrien\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\GUILLA~1\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\laurence\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\loriane\locals~1\applic~1" ***


    *** Recherche dossiers dans "C:\Documents and Settings\adrien\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\GUILLA~1\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\laurence\menudm~1\progra~1" ***


    *** Recherche dossiers dans "C:\DOCUME~1\loriane\menudm~1\progra~1" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé


    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\WINDOWS\system32" *

    * Recherche dans "C:\Documents and Settings\adrien\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\GUILLA~1\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\laurence\locals~1\applic~1" *

    * Recherche dans "C:\DOCUME~1\loriane\locals~1\applic~1" *



    *** Recherche fichiers ***



    *** Recherche clés spécifiques dans le Registre ***


    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :


    2)Recherche Heuristique :

    * Dans "C:\WINDOWS\system32" :


    * Dans "C:\Documents and Settings\adrien\locals~1\applic~1" :


    * Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


    * Dans "C:\DOCUME~1\GUILLA~1\locals~1\applic~1" :


    * Dans "C:\DOCUME~1\laurence\locals~1\applic~1" :


    * Dans "C:\DOCUME~1\loriane\locals~1\applic~1" :


    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group trouvé !
    Certificat OOO-Favorit trouvé !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :



    *** Analyse terminée le 09/06/2008 à 19:03:48,32 ***
    9 Juin 2008 19:31:44

    Re,

  • Double clique sur le raccourci de Navilog1.
  • Choisis l'option 2 puis valide. (Entrée)
  • Laisse toi guider.
  • Ton ordinateur va redémarrer, sinon fais le manuellement.
  • Ton bureau va disparaître.
  • Patiente jusqu'à l'apparition de ce message :
    "*** Nettoyage Termine le ..... ***"
  • Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
  • Sauvegarde le rapport.
  • Referme le Bloc-notes. Ton bureau va maintenant réapparaître.

    Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "Nouvelle tâche (exécuter)"
    Tapes explorer et valide. Cela te fera apparaitre ton bureau


    Démarrer -> panneau de configuration -> options internet
    Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :

    Montorgueil ; VIP

    Si tu les trouves, fais ceci :
    * Sélectionne chacun de ces certificats et clique sur exporter. Enregistre le/les sur ton bureau.
    * Supprime ensuite ceux présents dans l'onglet "certificats" des options de ton naviguateur.

    Ensuite pour chacun des certificats présents sur ton bureau :
    * Va sur le site Web :
    http://www.bleepingcomputer.com/submit-malware.php?chan...
    * Copie/colle ceci dans la case 'Link to Topic' :
    le nom du certificat (Montorgueil ,......)
    * Copie/colle ceci dans la case 'Browse to the File' :
    Le certificat correspondant que tu avais exportés vers ton bureau

    Si c'est fait, supprime enfin le certificat présent sur ton bureau.

    Les programmes suivants installent cette infection :

    * Go-astro
    * GoRecord
    * HotTVPlayer
    * MailSkinner
    * Messenger Skinner
    * Instant Access
    * InternetGameBox
    * sudoplanet
    * Webmediaplayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/
    * Sur le site www.games-desktop.com (Ne pas aller dessus!)

  • Poste le rapport sauvegardé auparavant (C:\cleannavi.txt) ainsi qu'un nouveau rapport Hijackthis.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS