Votre question

Trojan Horse TR/Dldr.ConHook.PR.1

Tags :
  • Windows
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Mai 2008 21:25:41

Bonjour, depuis deux jours mon pc était ralenti et des pages de pubs intempestives apparaissaient, de plus les mises a jour automatiques de windows se désactivaient au démarrage. J'ai installé Avira Antivir ( a la place d'Avast) et dès que je lance un programme, avira me préviens que opnlJyWN.dll est infecté et est en fait un trojan horse TR/Dldr.ConHook.PR.1 . Je ne peux pas supprimer opnlJyWN.dll à la main. J'ai effectué un rapport HiJackTHis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:23:56, on 14/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\program files\steam\steam.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Crawler\CToolbar.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Nico\Mes documents\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7167 bytes



Merci de votre aide!
PS : je n'ai pas trouvé ce type de trojan sur le forum, si j'ai mal regardé pardonnez moi et donnez moi le lien ^^

Autres pages sur : trojan horse dldr conhook

14 Mai 2008 21:36:46

bonsoir et [:bienvenue]

Télécharge MalwareByte's Anti-Malware sur ton Bureau.
Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.

Une fois l'installation et la mise à jour effectuées, redémarre en mode sans échec.
AIDE : Redémarrer en mode sans échec

  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    -- si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    -- si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau afin de le poster dans ta prochaine réponse.
    [#ff0000]REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    AIDE : Tuto en images sur MBAM
    15 Mai 2008 11:17:31

    Désolé pour le retard, j'ai effectué Malwarebytes' Anti-Malware , il a détecté plusieurs sources infectés dont opnlJyWN.dll qu'il n'arrive pas a supprimer, meme apres le redémarrage. Voici le rapport :
    Malwarebytes' Anti-Malware 1.12
    Version de la base de données: 749

    Type de recherche: Examen complet (C:\|D:\|E:\|)
    Eléments examinés: 90078
    Temps écoulé: 20 minute(s), 39 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 3
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\WINDOWS\system32\opnlJyWN.dll (Trojan.Vundo) -> Unloaded module successfully.

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{e243a8e7-6244-49e0-a361-22dbf30fd46c} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e243a8e7-6244-49e0-a361-22dbf30fd46c} (Trojan.Vundo) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnljywn (Trojan.Vundo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e243a8e7-6244-49e0-a361-22dbf30fd46c} (Trojan.Vundo) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\opnlJyWN.dll (Trojan.Vundo) -> Delete on reboot.

    Que faire?
    Contenus similaires
    15 Mai 2008 12:00:04

    J'ai réussi a supprimer opnlJyWN.dll grâce à Spyware Terminator, il l'a delete au démarrage. Merci pour l'aide, cependant il semble qu'un nouveau Trojan se ballade dans C:\System Volume Information, mais je n'ai pas réussi a connaitre le nom exact du fichier. Je vous tiens au courant, merci pour le petit logiciel qui va m'etre bien utile ^^
    15 Mai 2008 17:29:20

    bonjour
    on continue

    Désactive ton antivirus et tout autre type de protection.
    Télécharge ComboFix de sUBs :
    ComboFix.exe
    et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur ComboFix, Il va te poser une question, suis les invites puis attends que combofix ait terminé, il est possible que ton PC reboot, c’est normal, un rapport sera créé.Poste le rapport:C:\Combofix.txt
    clique dessus pour l'ouvrir, puis édition "sélectionner tout", édition "copier"

    viens sur le forum et édition "coller"

    ajoute un nouveau rapport Hijackthis.
    15 Mai 2008 19:06:49

    Re. Voici le rapport ComboFIx, suivi du rapport HiJackThis:

    ComboFix 08-05-12.1 - Nico 2008-05-15 18:58:45.1 - NTFSx86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.1497 [GMT 2:00]
    Endroit: C:\Documents and Settings\Nico\Bureau\ComboFix.exe
    * Création d'un nouveau point de restauration

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\WINDOWS\pskt.ini
    C:\WINDOWS\system32\atbidxwa.ini
    C:\WINDOWS\system32\drivers\npf.sys
    C:\WINDOWS\system32\lytnnyxv.ini
    C:\WINDOWS\system32\mcrh.tmp
    C:\WINDOWS\system32\packet.dll
    C:\WINDOWS\system32\wpcap.dll

    .
    ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_NPF


    ((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-15 to 2008-05-15 ))))))))))))))))))))))))))))))))))))
    .

    2008-05-15 11:10 . 2008-05-15 11:10 <REP> d-------- C:\Program Files\Panda Security
    2008-05-15 11:10 . 2008-05-15 11:10 1,835 --a------ C:\WINDOWS\mozver.dat
    2008-05-15 10:23 . 2008-05-15 10:24 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Winamp
    2008-05-15 10:22 . 2008-04-13 21:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
    2008-05-15 10:22 . 2008-04-13 21:10 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
    2008-05-15 10:22 . 2008-04-13 14:15 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
    2008-05-15 10:22 . 2008-05-15 10:23 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
    2008-05-15 10:22 . 2008-04-13 21:10 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
    2008-05-15 10:22 . 2008-04-13 21:10 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
    2008-05-15 10:22 . 2008-04-13 21:10 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
    2008-05-15 10:22 . 2008-05-15 10:22 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
    2008-05-15 10:22 . 2008-05-15 10:22 <REP> d-------- C:\Documents and Settings\Administrateur
    2008-05-15 10:22 . 2008-05-15 18:58 1,024 --ah----- C:\Documents and Settings\Administrateur\ntuser.dat.LOG
    2008-05-14 22:29 . 2008-05-14 22:29 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
    2008-05-14 22:29 . 2008-05-14 22:29 <REP> d-------- C:\Documents and Settings\Nico\Application Data\Malwarebytes
    2008-05-14 22:29 . 2008-05-14 22:29 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
    2008-05-14 22:29 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
    2008-05-14 22:29 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
    2008-05-14 20:57 . 2008-05-15 18:54 <REP> d-------- C:\Program Files\Crawler
    2008-05-14 20:44 . 2008-05-14 20:44 <REP> d-------- C:\Documents and Settings\LocalService\Mes documents
    2008-05-14 20:37 . 2008-05-14 21:28 <REP> d-------- C:\Program Files\Navilog1
    2008-05-14 19:21 . 2008-05-15 18:58 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG
    2008-05-14 19:15 . 2008-05-14 19:15 <REP> d-------- C:\Program Files\Avira
    2008-05-14 19:15 . 2008-05-14 19:15 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira
    2008-05-14 17:47 . 2008-05-14 17:47 0 --a------ C:\WINDOWS\nsreg.dat
    2008-05-14 17:28 . 2008-05-14 20:53 <REP> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
    2008-05-14 17:15 . 2008-05-15 12:36 <REP> d-------- C:\Program Files\Spyware Terminator
    2008-05-14 17:15 . 2008-05-15 12:30 <REP> d-------- C:\Documents and Settings\Nico\Application Data\Spyware Terminator
    2008-05-14 17:15 . 2008-05-15 12:36 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
    2008-05-14 17:15 . 2008-05-14 17:15 141,312 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
    2008-05-13 15:45 . 2008-05-14 19:12 109,879 --a------ C:\WINDOWS\BM2bf71a96.xml
    2008-05-10 17:38 . 2008-05-11 09:44 23 --a------ C:\WINDOWS\BlendSettings.ini
    2008-05-10 16:27 . 2008-05-10 16:27 <REP> d-------- C:\Program Files\Bethesda Softworks
    2008-05-08 15:35 . 2008-05-08 15:35 <REP> d-------- C:\Documents and Settings\Nico\Application Data\Media Player Classic
    2008-05-08 15:25 . 2008-05-08 15:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\InstallShield
    2008-05-08 12:51 . 2008-05-12 10:28 <REP> d-------- C:\Program Files\Prima Games
    2008-05-08 12:51 . 2008-05-08 12:51 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Trymedia
    2008-05-08 12:45 . 2008-05-08 12:45 <REP> d-------- C:\Program Files\DNA
    2008-05-08 12:45 . 2008-05-15 18:59 <REP> d-------- C:\Documents and Settings\Nico\Application Data\DNA
    2008-05-05 23:08 . 2008-05-06 17:01 <REP> d-------- C:\Program Files\Google
    2008-05-04 13:47 . 2008-05-13 16:22 <REP> d-------- C:\Program Files\PC Registry Cleaner
    2008-04-22 19:24 . 2008-05-15 10:44 <REP> d-------- C:\Program Files\LimeWire
    2008-04-20 14:02 . 2008-05-08 12:51 <REP> d-------- C:\Program Files\Fichiers communs\Adobe
    2008-04-19 12:52 . 2008-04-19 12:52 <REP> d-------- C:\Documents and Settings\All Users\Application Data\ATI
    2008-04-17 20:00 . 2008-04-17 20:00 <REP> d-------- C:\Program Files\7-Zip
    2008-04-17 16:25 . 2008-04-17 16:25 <REP> d-------- C:\Program Files\Teamspeak2_RC2
    2008-04-17 16:25 . 2008-04-17 16:25 <REP> d-------- C:\Documents and Settings\Nico\Application Data\teamspeak2
    2008-04-17 16:25 . 2008-04-17 16:25 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
    2008-04-15 11:53 . 2008-04-15 11:53 0 --a------ C:\WINDOWS\ativpsrm.bin
    2008-04-15 11:51 . 2008-05-15 19:01 <REP> d-------- C:\Program Files\Steam
    2008-04-15 11:47 . 2007-03-22 21:05 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
    2008-04-15 11:46 . 2008-04-15 11:46 <REP> d-------- C:\ATI

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2008-05-14 19:34 --------- d-----w C:\Documents and Settings\Nico\Application Data\LimeWire
    2008-05-14 17:22 --------- d-----w C:\Program Files\Avast
    2008-05-10 14:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
    2008-05-08 13:28 --------- d-----r C:\Program Files\Jeux
    2008-05-08 13:22 --------- d-----w C:\Program Files\Fichiers communs\InstallShield
    2008-05-07 18:33 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
    2008-05-05 21:08 --------- d-----w C:\Program Files\Java
    2008-04-19 10:52 --------- d-----w C:\Documents and Settings\Nico\Application Data\ATI
    2008-04-15 14:56 --------- d-----w C:\Documents and Settings\Nico\Application Data\Winamp
    2008-04-15 09:51 --------- d-----w C:\Program Files\ATI Technologies
    2008-04-13 20:25 22,328 ----a-w C:\Documents and Settings\Nico\Application Data\PnkBstrK.sys
    2008-04-13 19:20 --------- d-----w C:\Program Files\My Company Name
    2008-04-13 18:32 --------- d-----w C:\Program Files\Fichiers communs\Java
    2008-04-13 18:10 --------- d-----w C:\Program Files\SEGA
    2008-04-13 18:01 --------- d-----w C:\Program Files\Fichiers communs\Blizzard Entertainment
    2008-04-13 16:46 --------- d-----w C:\Program Files\WowCartographe
    2008-04-13 16:28 --------- d-----w C:\Documents and Settings\Nico\Application Data\TuneUp Software
    2008-04-13 15:43 --------- dcsh--w C:\Program Files\Fichiers communs\WindowsLiveInstaller
    2008-04-13 15:43 --------- d-----w C:\Program Files\Windows Live
    2008-04-13 15:43 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
    2008-04-13 14:45 --------- d-----w C:\Program Files\Winamp
    2008-04-13 14:01 --------- d-----w C:\Program Files\CCleaner
    2008-04-13 13:00 --------- d-----w C:\Program Files\TechCity Solutions
    2008-04-13 13:00 --------- d-----w C:\Program Files\Alice
    2008-04-13 12:35 315,392 ----a-w C:\WINDOWS\HideWin.exe
    2008-04-13 12:35 --------- d-----w C:\Program Files\Realtek
    2008-04-13 12:26 --------- d-----w C:\Program Files\NVIDIA Corporation
    2008-04-13 12:26 --------- d-----w C:\Documents and Settings\Nico\Application Data\InstallShield
    2008-04-13 12:18 --------- d-----w C:\Program Files\microsoft frontpage
    2008-04-13 12:17 558,142 ----a-w C:\WINDOWS\java\Packages\M973P7ZB.ZIP
    2008-04-13 12:17 155,995 ----a-w C:\WINDOWS\java\Packages\A5FHJFH3.ZIP
    2008-04-13 12:15 --------- d-----w C:\Program Files\Services en ligne
    .

    ((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    REGEDIT4
    *Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 01:09 15360]
    "MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
    "Steam"="c:\program files\steam\steam.exe" [2008-04-15 11:53 1271032]
    "BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-05-08 12:45 289088]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SkyTel"="SkyTel.EXE" [2007-08-03 07:22 1826816 C:\WINDOWS\SkyTel.exe]
    "AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57 81408]
    "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
    "StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
    "Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
    "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-14 17:15 1817600]
    "avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
    "Microsoft Updates"="svehost.exe" []

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 01:09 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    -r------- 2007-09-27 08:20 16844800 C:\WINDOWS\RTHDCPL.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "C:\\Program Files\\Messenger\\msmsgs.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "C:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "C:\\Program Files\\Steam\\steamapps\\aldevarius\\half-life 2 deathmatch\\hl2.exe"=
    "C:\\Program Files\\Jeux\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
    "C:\\Program Files\\DNA\\btdna.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

    R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-05-14 17:15]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
    \Shell\AutoRun\command - F:\OblivionLauncher.exe

    .
    Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'
    "2008-05-15 17:00:57 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"
    - C:\Program Files\TuneUp Utilities 2008\OneClickStarter.exe
    .
    **************************************************************************

    catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2008-05-15 19:01:10
    Windows 5.1.2600 Service Pack 2 NTFS

    Balayage processus cach‚s ...

    Balayage cach‚ autostart entries ...

    Balayage des fichiers cach‚s ...

    Scan termin‚ avec succŠs
    Les fichiers cach‚s: 0

    **************************************************************************
    .
    ------------------------ Other Running Processes ------------------------
    .
    C:\WINDOWS\system32\ati2evxx.exe
    C:\WINDOWS\system32\ati2evxx.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
    C:\Program Files\Spyware Terminator\sp_rsser.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    .
    **************************************************************************
    .
    Temps d'accomplissement: 2008-05-15 19:02:32 - machine was rebooted
    ComboFix-quarantined-files.txt 2008-05-15 17:02:29

    Pre-Run: 38,241,271,808 octets libres
    Post-Run: 38,251,114,496 octets libres

    186 --- E O F --- 2008-05-15 12:04:05

    Maintenant HiJackThis:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:04:55, on 15/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    C:\Program Files\Spyware Terminator\sp_rsser.exe
    C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
    C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
    C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
    C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
    C:\program files\steam\steam.exe
    C:\Program Files\DNA\btdna.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\explorer.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\Nico\Bureau\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
    O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
    O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
    O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Crawler Search - tbr:iemenu
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.ca...
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
    O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
    O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
    O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

    --
    End of file - 7117 bytes

    Je n'ai plus de problemes de fenetres intempestives et les mises a jour automatiques sont "réparées". L'antivirus ne martele plus de message de détection de virus, je me considere comme vacciné :)  Merci beaucoup pour l'aide.
    16 Mai 2008 11:48:43

    bonjour

    ~Lance Hijackthis “Do a system scan only”.
    Coche les lignes qui suivent si encore présentes et uniquement celles-là.

    O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe

    Clique sur Fix checked (en bas à gauche)


    supprime:
    C:\WINDOWS\BM2bf71a96.xml


    ~Fais une analyse antivirus en ligne sur le site de Kaspersky
    http://webscanner.kaspersky.fr/

    ~ Clique sur Online Scanner.
    ~Accepte l'installation du contrôle ActiveX en cliquant sur le bouton Install.

    ~Sélectionne le poste de travail comme analyse.

    ~Enregistre le rapport en cliquant sur le bouton "Enregistrer rapport sous". Nomme-le, tu feras un copier/coller dans ta prochaine réponse.

    Tuto du scan en ligne
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS