Votre question

Virus - pub automatique.

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
28 Avril 2008 18:16:49

Bonjour,

J'ai un virus, si on peut appeler ca un virus...

J'ai de la pub qui se lance toujours : "advertissement", "ebay"...

Comment l'enlever ? Sachant que je n'ai aucune autre indice :D 

Merci

Autres pages sur : virus pub automatique

29 Avril 2008 22:26:42

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:26:00, on 29/04/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16546)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\ccjvvk.exe
C:\Program Files\??crosoft.NET\cmd.exe
C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe
C:\Windows\System32\mobsync.exe
C:\Users\Administrateur\AppData\Roaming\SpeedRunner\SpeedRunner.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: {17a83dab-c5b2-5af8-3274-def1ddd98a93} - {39a89ddd-1fed-4723-8fa5-2b5cbad38a71} - C:\Windows\system32\eksaairp.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {89475EE7-B87F-47F4-AFE9-D769494D7D1B} - C:\Windows\system32\byXqNdAt.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {C0D540D6-F715-F1B3-11E4-AB8F045773E2} - C:\Windows\system32\hsmpmdb.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\opnkhgHA.dll,#1
O4 - HKLM\..\Run: [aa977698] rundll32.exe "C:\Windows\system32\ecuvjbxh.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BMa9a44504] Rundll32.exe "C:\Windows\system32\rxmsabkw.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Svconr] C:\Program Files\Svconr\Svconr.exe
O4 - HKCU\..\Run: [SpeedRunner] C:\Users\Administrateur\AppData\Roaming\SpeedRunner\SpeedRunner.exe
O4 - HKCU\..\Run: [SfKg6wIP] C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\ccjvvk.exe
O4 - HKCU\..\Run: [Ieuu] "C:\PROGRA~1\CROSOF~1.NET\cmd.exe" -vt yazb
O4 - HKCU\..\Run: [Wmbxxs] C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: DW_Start.lnk = C:\Windows\System32\rwwnw64d.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)

--
End of file - 5190 bytes
Contenus similaires
29 Avril 2008 22:36:16

Re,

Bien infecté(e) ! Supprime tous les cracks de ton PC !

1) Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )

2) Si tu as spybot, ouvre Spybot , clique sur l'onglet Mode et choisis Mode Avancé
Ne tiens pas compte de l'avertissement
En bas à gauche , clique sur Outils
Toujours dans la colonne de gauche , clique sur Résident ( pas dans la fenêtre centrale )
Et décoche l'option Resident "TeaTimer"

Télécharge MsnFix (de !aur3n7) sur ton Bureau. (>>Tuto<<)
Dézippe-le sur C:\

Ouvre le dossier MSNFix puis double-clique sur MSNFix.bat. (L’extension bat peut ne pas apparaître)
- Exécute l'option R.
- Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N)

Si tu dois redémarrer l’ordinateur fais le manuellement.

Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log

Note : Si tu obtiens un fichier zip d’upload sur ton bureau, fais ceci

;) 
30 Avril 2008 15:09:43

J'ai pas de crack sur mon ordi...

Et si j'ai pas Spybot...obliger que je fasse avec celui la ?

Merci...!
30 Avril 2008 16:59:50

Re,

Si tu veux désinfecter ton pc efficacement, suis mes explications, lis-les attentivement, tout est expliqué en détail.

;) 
1 Mai 2008 17:42:18

Hmm j'ai une question bete..apres avoir configurer mon spyboy..je lance un scan ou je passe directe a la prochaine etape ? :) 
1 Mai 2008 17:57:45

Voila le rapport :

MSNFix 1.712

C:\Users\Administrateur\Desktop\MSNFix
Fix exécuté le 01/05/2008 - 17:44:12,07 By Administrateur
mode normal

************************ Recherche les fichiers présents

... C:\Program Files\outerinfo\FF\chrome.manifest
... C:\Program Files\outerinfo\FF\components\FF.dll
... C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
... C:\Program Files\outerinfo\FF\install.rdf
... C:\Program Files\outerinfo\Terms.rtf
... C:\Windows\b156.exe
... C:\autorun.inf
... C:\Autorun.inf
... C:\Windows\b???.exe

************************ Recherche les dossiers présents

... C:\Program Files\CPV\
... C:\Program Files\outerinfo\
... C:\Program Files\Temporary\
... \TEMP\
... C:\Program Files\Temporary\
... C:\Program Files\CPV\




************************ Suppression des fichiers

.. OK ... C:\Program Files\outerinfo\FF\chrome.manifest
.. OK ... C:\Program Files\outerinfo\FF\components\FF.dll
.. OK ... C:\Program Files\outerinfo\FF\components\OuterinfoAds.xpt
.. OK ... C:\Program Files\outerinfo\FF\install.rdf
.. OK ... C:\Program Files\outerinfo\Terms.rtf
.. OK ... C:\Windows\b156.exe
.. OK ... C:\autorun.inf
.. OK ... C:\Autorun.inf
.. OK ... C:\Windows\b???.exe


************************ Suppression des dossiers

.. OK ... C:\Program Files\CPV\
/!\ ... C:\Program Files\outerinfo\
.. OK ... C:\Program Files\Temporary\
/!\ ... \TEMP\
.. OK ... C:\Program Files\Temporary\
.. OK ... C:\Program Files\CPV\


************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun Fichier trouvé



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention

[C:\Windows\system32\wininit.exe] 39D959CD9F3BC44F78DB3C6588AAC3FE
[C:\Windows\system32\winload.exe] 00D439AB54A9FEB59F94B15C03FF4277
[C:\Windows\system32\winresume.exe] 199B7A1917B614658C943069AAC2E62B
[C:\Windows\system32\WinSAT.exe] 57F0E1C3892A6C1B5012C4937C68C8B9
[C:\Users\ADMINI~1\AppData\Local\Temp\AR5_Drivers.zip] ED3E0976FA1B4D8C0D274BCA4F51C42B

==> SVP merci d'envoyer le fichier C:\Users\ADMINI~1\Desktop\Upload_Me.zip sur http://upload.changelog.fr



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 01052008_17554120.zip

************************ HKLM\...\Winlogon\Userinit

Userinit = C:\Windows\system32\userinit.exe,


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: http://changelog.fr
------------------------------------------------------------------------

--------------------------------------------- END ---------------------------------------------

1 Mai 2008 22:35:20

:hello: 

Si tu as Vista, fais ceci avant :
Désactive l'UAC ( Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valide par OK , il te sera demandé de redémarrer, fais le )

1) [~] Aller dans poste de travail/outils/option des dossiers/affichage/afficher les fichiers et dossiers cachés/Appliquer - - > OK
[~] Aller dans poste de travail/outils/option des dossiers/affichage/décocher masquer les fichiers protégés du système d'exploitation./Appliquer - - > OK

Tu recocheras après.


- Poste de travail/outils/option des dossiers/affichage/décocher masquer les extensions dont le type est connu./Appliquer - - > OK

2) Désactive toute protection résidente ( antivirus…) !
Déconnecte-toi d’internet, ferme tous les programmes en cours et laisse combofix travailler : ne fais donc pas autre chose en même temps !


Télécharge Combofix de sUBs
Sauvegarde le sur ton bureau et pas ailleurs !
Redémarre en mode sans échecs : aide ici >>>
http://forum.telecharger.01net.com/telecharger/virus_et...
/!\ Ne jamais redémarrer en mode sans échec via msconfig ! /!\

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport. Il se trouve ici : C:\Combofix.txt

3) Copie/colle un nouveau rapport HiJackThis avec.

Bonne soirée :hello: 
2 Mai 2008 11:37:55

Rapport de ComboFix :
ComboFix 08-05-01.1 - Administrateur 2008-05-02 11:29:16.1 - NTFSx86 MINIMAL
Microsoft® Windows Vista™ Édition Intégrale 6.0.6000.0.1252.1.1036.18.1720 [GMT 2:00]
Endroit: C:\Users\Administrateur\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Program Files\crosof~1.net
C:\Program Files\crosof~1.net\??crosoft.NET\
C:\Program Files\crosof~1.net\cmd.exe
C:\Program Files\outerinfo
C:\Program Files\outerinfo\FF\chrome.MSNFix
C:\Program Files\outerinfo\FF\components\FF.MSNFix
C:\Program Files\outerinfo\FF\components\OuterinfoAds.MSNFix
C:\Program Files\outerinfo\FF\install.MSNFix
C:\Program Files\outerinfo\Terms.MSNFix
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outerinfo
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outerinfo\Terms.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outerinfo\Uninstall.lnk
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Users\ADMINI~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\bestwiner.stt
C:\Users\ADMINI~1\AppData\Local\MICROS~1\Windows\TEMPOR~1\CPV.stt
C:\Users\ADMINI~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Outerinfo
C:\Users\ADMINI~1\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\DW_Start.lnk
C:\Users\ADMINI~1\AppData\Roaming\WNSXS~1
C:\Users\ADMINI~1\AppData\Roaming\WNSXS~1\w?nspool.exe
C:\Windows\backinf.tab
C:\Windows\system32\apgdybsm.dll
C:\Windows\system32\awTlIbaw.dll
C:\Windows\system32\byXqNdAt.dll
C:\Windows\System32\CeNpAcdd.ini
C:\Windows\System32\CeNpAcdd.ini2
C:\Windows\System32\cistpmak.ini
C:\Windows\system32\ddcApNeC.dll
C:\Windows\system32\fgfaqtsc.dll
C:\Windows\system32\hsmpmdb.dll
C:\Windows\system32\hxbjvuce.ini
C:\Windows\System32\lRuCKRqr.ini
C:\Windows\System32\lRuCKRqr.ini2
C:\Windows\system32\mcrh.tmp
C:\Windows\system32\msnav32.ax
C:\Windows\system32\oafwbvlf.dll
C:\Windows\system32\pac.txt
C:\Windows\System32\puhdaqit.ini
C:\Windows\system32\sfkcgilu.dll
C:\Windows\System32\suBbefii.ini
C:\Windows\System32\suBbefii.ini2
C:\Windows\System32\tAdNqXyb.ini
C:\Windows\System32\tAdNqXyb.ini2
C:\Windows\System32\uligckfs.ini
C:\Windows\system32\wsrvabgn.dll
D:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-02 to 2008-05-02 ))))))))))))))))))))))))))))))))))))
.

Pas de nouveau fichier cr‚‚ dans cet espace de temps

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 09:33 28,190 ----a-w C:\Users\ADMINI~1\AppData\Roaming\nvModes.dat
2008-05-02 09:23 806,400 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-05-02 09:23 217,144 ----a-w C:\Windows\system32\drivers\netio.sys
2008-05-02 09:23 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-05-02 09:11 --------- d-----w C:\Program Files\Windows Sidebar
2008-05-01 16:22 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys
2008-05-01 16:22 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys
2008-05-01 16:22 130,560 ----a-w C:\Windows\system32\drivers\srv2.sys
2008-05-01 16:22 102,400 ----a-w C:\Windows\system32\drivers\mrxsmb.sys
2008-05-01 16:21 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-05-01 16:21 148,992 ----a-w C:\Windows\system32\drivers\ks.sys
2008-05-01 16:20 --------- d-----w C:\Program Files\MSXML 4.0
2008-05-01 15:43 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-05-01 15:39 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-05-01 15:37 --------- d-----w C:\ProgramData\Lavasoft
2008-04-30 05:41 --------- d-----w C:\ProgramData\Hewlett-Packard
2008-04-29 10:06 --------- d-----w C:\Program Files\Svconr
2008-04-29 07:49 --------- d-----w C:\ProgramData\Avira
2008-04-29 07:49 --------- d-----w C:\Program Files\Avira
2008-04-23 07:34 461 ----a-w C:\Users\Administrateur\37.bat
2008-04-19 13:56 --------- d-----w C:\Program Files\Warcraft III
2008-04-19 11:39 --------- d-----w C:\Program Files\VirtualDJ
2008-04-17 20:53 --------- d-----w C:\Program Files\Vegas 7.0
2008-04-13 14:03 2,829 ----a-w C:\Windows\War3Unin.pif
2008-04-13 14:03 139,264 ----a-w C:\Windows\War3Unin.exe
2008-04-05 08:30 --------- d-----w C:\Users\ADMINI~1\AppData\Roaming\Sony
2008-04-01 17:41 --------- d-----w C:\ProgramData\Messenger Plus!
2008-03-31 14:52 --------- d-----w C:\Users\ADMINI~1\AppData\Roaming\Publish Providers
2008-03-31 14:50 --------- d-----w C:\Program Files\Microsoft SQL Server
2008-03-31 14:49 --------- d-----w C:\ProgramData\Sony
2008-03-31 14:49 --------- d-----w C:\Program Files\Vstplugins
2008-03-31 14:07 --------- d-----w C:\Program Files\xRelais
2008-03-31 12:08 --------- d-----w C:\Program Files\Microsoft.NET
2008-03-30 12:23 --------- d-----w C:\Program Files\Messenger Plus! Live
2008-03-29 19:26 --------- d-----w C:\Program Files\Windows Live
2008-03-29 19:25 --------- dcsh--w C:\Program Files\Common Files\WindowsLiveInstaller
2008-03-29 19:14 --------- d-----w C:\ProgramData\WLInstaller
2008-03-29 17:03 --------- d-----w C:\Program Files\DIFX
2008-03-29 17:02 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-03-29 16:46 --------- d-----w C:\Program Files\Winamp
2008-03-29 16:19 --------- d-----w C:\Users\ADMINI~1\AppData\Roaming\SystemRequirementsLab
2008-03-29 16:19 --------- d-----w C:\Program Files\SystemRequirementsLab
2008-03-29 16:13 --------- d-----w C:\Users\ADMINI~1\AppData\Roaming\Talkback
2008-03-29 15:58 --------- d-----w C:\Program Files\My Company Name
2008-03-29 15:58 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-29 15:57 --------- d-----w C:\Program Files\Java
2008-03-29 15:57 --------- d-----w C:\Program Files\Common Files\Java
2008-03-29 15:56 --------- d-----w C:\Users\ADMINI~1\AppData\Roaming\Nero
2008-03-29 15:56 --------- d-----w C:\Program Files\Common Files\Nero
2008-03-29 15:55 --------- d-----w C:\ProgramData\Nero
2008-03-29 15:55 --------- d-----w C:\Program Files\Nero
2008-03-29 15:45 --------- d-sh--w C:\ProgramData\Modèles
2008-03-29 15:45 --------- d-sh--w C:\ProgramData\Menu Démarrer
2008-03-29 15:45 --------- d-sh--w C:\ProgramData\Favoris
2008-03-29 15:45 --------- d-sh--w C:\ProgramData\Bureau
2008-03-29 15:45 --------- d-sh--w C:\Program Files\Fichiers communs
2008-03-29 15:43 685,816 ----a-w C:\Windows\system32\drivers\sptd.sys
2008-03-29 15:42 174 --sha-w C:\Program Files\desktop.ini
2005-07-29 14:24 472 --sha-r C:\Windows\VXRpbGlzYXRldXIgV2luZG93cw\prlDv35Wsrl5xrK0pZ5Rt36awT.vbs
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"Svconr"="C:\Program Files\Svconr\Svconr.exe" [ ]
"Ieuu"="C:\PROGRA~1\CROSOF~1.NET\cmd.exe" [ ]
"Wmbxxs"="C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-08-01 01:18 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-08-01 01:17 8429568]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-08-01 01:17 81920]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableInstallerDetection"= 0 (0x0)
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DisableNotifications"= 1 (0x1)
"EnableFirewall"= 0 (0x0)

R3 R5U870FLx86;R5U870 UVC Lower Filter ;C:\Windows\system32\Drivers\R5U870FLx86.sys [2007-04-20 01:00]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;C:\Windows\system32\Drivers\R5U870FUx86.sys [2007-04-20 01:00]
R3 ti21sony;ti21sony;C:\Windows\system32\drivers\ti21sony.sys [2007-06-06 01:00]
R3 yukonwlh;Pilote miniport NDIS6.0 pour contrôleur Ethernet Marvell Yukon;C:\Windows\system32\DRIVERS\yk60x86.sys [2006-11-02 09:30]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1734a664-1107-11dd-a74d-001a8024ce50}]
\shell\Auto\command - F:\Start.exe
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1734a67d-1107-11dd-a74d-001a8024ce50}]
\shell\Auto\command - F:\Start.exe
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86cd021d-1511-11dd-970f-001a8024ce50}]
\shell\Auto\command - F:\Start.exe
\shell\AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8434bad-fda5-11dc-8346-806e6f6e6963}]
\shell\AutoRun\command - E:\autoplay.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 11:33:30
Windows 6.0.6000 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Windows\System32\audiodg.exe
C:\Windows\System32\conime.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\dllhost.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-02 11:34:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-02 09:34:50

Le texte du message associé au numéro 0x2379 est introuvable dans le fichier de messages pour Application.
Le texte du message associ‚ au num‚ro 0x2379 est introuvable dans le fichier de messages pour Application.

194 --- E O F --- 2008-05-02 09:23:46



Rapport de HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:28, on 02/05/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\mobsync.exe
C:\Windows\Explorer.exe
C:\Windows\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Svconr] C:\Program Files\Svconr\Svconr.exe
O4 - HKCU\..\Run: [Ieuu] "C:\PROGRA~1\CROSOF~1.NET\cmd.exe" -vt yazb
O4 - HKCU\..\Run: [Wmbxxs] C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe (file missing)

--
End of file - 4070 bytes
2 Mai 2008 16:10:13

:hello:  Bonjour,

1) Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) puis clique sur "Fix Checked" et referme HijackThis :

O4 - HKCU\..\Run: [Ieuu] "C:\PROGRA~1\CROSOF~1.NET\cmd.exe" -vt yazb
O4 - HKCU\..\Run: [Wmbxxs] C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe


2) Rends toi sur ce lien : Virus Total
  • Clique sur Parcourir
  • Rends toi jusque sur ce fichier si tu le trouves :

    C:\Program Files\Svconr\Svconr.exe

  • Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image :
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
    Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

    ;) 
    5 Mai 2008 21:38:27

    Mon dossier est vide....pourtant quand je vais dans programme blablabla, c'est un programme installe et que je peux désinstaller...
    5 Mai 2008 23:35:57

    :hello:  Bonsoir,

    Relance HijackThis (clique droit -> lancer en tant qu'adminstrateur sous Vista), clique sur "do a system scan only", coche ces lignes ( si présentes ) :

    O4 - HKCU\..\Run: [Svconr] C:\Program Files\Svconr\Svconr.exe
    O4 - HKCU\..\Run: [Ieuu] "C:\PROGRA~1\CROSOF~1.NET\cmd.exe" -vt yazb
    O4 - HKCU\..\Run: [Wmbxxs] C:\Users\Administrateur\AppData\Roaming\W?nSxS\w?nspool.exe


    Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
    Puis Fix Checked !

    **************

    Fais un scan avec antivir en mode sans échec et poste-moi le rapport.

    Bonne nuit, à demain :hello: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS