Votre question

Trojan Horse Lop.as

Tags :
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Janvier 2007 11:08:40

Bonjour,

Je suis infecté par le cheval de troie Trojan Horse Lop.as et je n'arrive pas à m'en débarraser.

Merci de votre aide précieuse.

- gccrew -


Autres pages sur : trojan horse lop

a b 8 Sécurité
15 Janvier 2007 13:00:23

Bonjour,

- Télécharge Hijackthis (de Merjin).
- Dézippe le dans un dossier ou sur ton bureau.

- Lance l'application.
- Choisis l'option "Do a system scan and save a logfile"
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.

AIDE : Tuto sur Hijackthis (Malekal)
19 Janvier 2007 15:01:39

Bonjour et merci,

ci-dessous le rapport avec un peu de retard j'étais absent

Logfile of HijackThis v1.99.1
Scan saved at 15:03:45, on 19/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\basfipm.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\MICROS~3\wcescomm.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unilog.fr:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {218950D9-ED2A-494B-89D4-5AC3B6260999} - C:\WINDOWS\system32\geebc.dll (file missing)
O2 - BHO: (no name) - {49967595-06E5-4EEE-93C4-14657AEB6E15} - C:\WINDOWS\system32\jkkjg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64FC147D-FBEC-804A-9427-81CD5C6C86C9} - C:\WINDOWS\system32\gbwjinx.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\nmfimlgk.dll (file missing)
O2 - BHO: (no name) - {A9CB8FDD-B26B-422C-8E24-E0C8E64E918A} - C:\WINDOWS\system32\mljjiih.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
O17 - HKLM\Software\..\Telephony: DomainName = montpellier.unilog.fr
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = UNILOGMTP.fr
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
O18 - Filter: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: geebc - C:\WINDOWS\system32\geebc.dll (file missing)
O20 - Winlogon Notify: mljjiih - C:\WINDOWS\SYSTEM32\mljjiih.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: winuns32 - winuns32.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Contenus similaires
19 Janvier 2007 15:26:30

Bonjour,

Bien infecté :( 

1/ Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
  • Double-clique VundoFix.exe afin de le lancer
  • Lorsque l'outil se lance à nouveau, clique sur le bouton Scan for Vundo
  • Clique sur le bouton Scan for Vundo
  • Lorsque le scan est complété, clique sur le bouton Remove Vundo
  • Une invite te demandera si tu veux supprimer les fichiers, clique YES
  • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers
  • Tu verras une invite qui t'annonce que ton PC va redémarrer; clique OK
  • Copie/colle le contenu du rapport situé dans C:\vundofix.txt dans ta prochaine réponse.

    2/ Télécharge combofix.exe (par sUBs) sur ton Bureau

    http://download.bleepingcomputer.com/sUBs/combofix.exe

    Double clique combofix.exe et suis les invites.
    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    3/ Poste un nouveau rapport HijackThis.

    Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo".
    22 Janvier 2007 09:14:27

    Merci ci-joint les rapports vundofix, combofix et hijackthis


    VundoFix V6.3.2

    Checking Java version...

    Java version is 1.4.2.3

    Java version is 1.5.0.4

    Java version is 1.5.0.6

    Java version is 1.5.0.9

    Scan started at 18:01:38 19/01/2007

    Listing files found while scanning....

    C:\WINDOWS\SYSTEM32\byxvsqq.dll
    C:\WINDOWS\system32\cbeeg.bak1
    C:\WINDOWS\system32\cbeeg.bak2
    C:\WINDOWS\system32\cbeeg.ini
    C:\WINDOWS\SYSTEM32\efcccay.dll
    C:\WINDOWS\system32\geebc.dll
    C:\WINDOWS\SYSTEM32\mljjiih.dll
    C:\WINDOWS\system32\nmfimlgk.dll
    C:\WINDOWS\SYSTEM32\ssqnkjk.dll
    C:\WINDOWS\SYSTEM32\urqnkhf.dll
    C:\WINDOWS\system32\wspsuwwm.dll

    Beginning removal...

    Attempting to delete C:\WINDOWS\SYSTEM32\byxvsqq.dll
    C:\WINDOWS\SYSTEM32\byxvsqq.dll Has been deleted!

    Attempting to delete C:\WINDOWS\system32\cbeeg.bak1
    C:\WINDOWS\system32\cbeeg.bak1 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\cbeeg.bak2
    C:\WINDOWS\system32\cbeeg.bak2 Has been deleted!

    Attempting to delete C:\WINDOWS\system32\cbeeg.ini
    C:\WINDOWS\system32\cbeeg.ini Has been deleted!

    Attempting to delete C:\WINDOWS\SYSTEM32\efcccay.dll
    C:\WINDOWS\SYSTEM32\efcccay.dll Has been deleted!

    Attempting to delete C:\WINDOWS\SYSTEM32\mljjiih.dll
    C:\WINDOWS\SYSTEM32\mljjiih.dll Could not be deleted.

    Attempting to delete C:\WINDOWS\SYSTEM32\ssqnkjk.dll
    C:\WINDOWS\SYSTEM32\ssqnkjk.dll Has been deleted!

    Attempting to delete C:\WINDOWS\SYSTEM32\urqnkhf.dll
    C:\WINDOWS\SYSTEM32\urqnkhf.dll Has been deleted!

    Performing Repairs to the registry.
    Done!

    Beginning removal...

    Attempting to delete C:\WINDOWS\SYSTEM32\mljjiih.dll
    C:\WINDOWS\SYSTEM32\mljjiih.dll Has been deleted!

    Performing Repairs to the registry.
    Done!


    "benoit.pradelles" - 07-01-22 9:11:42 Service Pack 2
    ComboFix 07-01-18 - Running from: "C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau"

    (((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


    C:\WINDOWS\system32\drivers\fad.sys
    C:\WINDOWS\system32\unsvchosts.lzma
    C:\Program Files\Fichiers communs\{34B39~1
    C:\Program Files\Fichiers communs\{A4B39~1
    ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
    Folders Quarantined:
    C:\qoobox\purity\DOCUME~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Mes documents
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data\DOBE~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data\FNTS~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data\from.txt
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data\ICROSO~1.NET
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Application Data\YMBOLS~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Mes documents\FNTS~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Mes documents\from.txt
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Mes documents\ICROSO~1
    C:\qoobox\purity\DOCUME~1\BENOIT~1.MON\Mes documents\MBOLS~1
    C:\qoobox\purity\Program Files\SKS~1
    C:\qoobox\purity\WINDOWS\MCROSO~1.NET
    C:\qoobox\purity\WINDOWS\SYSTEM32\SMANTE~1


    ((((((((((((((((((((((((((((((( Files Created from 2006-12-22 to 2007-01-22 ))))))))))))))))))))))))))))))))))


    2007-01-19 18:01 <REP> d-------- C:\VundoFix Backups
    2007-01-19 17:18 83,168 --a------ C:\WINDOWS\SYSTEM32\S32EVNT1.DLL
    2007-01-19 17:18 82,832 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SYMEVENT.SYS
    2007-01-19 15:28 <REP> d-------- C:\Program Files\Microsoft Voice Command
    2007-01-17 13:48 277,044 --a------ C:\WINDOWS\SYSTEM32\ssttt.dll
    2007-01-17 13:44 277,044 --a------ C:\WINDOWS\SYSTEM32\geebb.dll
    2007-01-05 10:28 106 --a------ C:\delete.bat
    2007-01-03 15:43 <REP> d-------- C:\Program Files\Lavasoft
    2007-01-03 15:35 277,044 --a------ C:\WINDOWS\SYSTEM32\jkkll.dll
    2007-01-03 15:21 277,044 --a------ C:\WINDOWS\SYSTEM32\sstqq.dll
    2007-01-03 13:39 3,968 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\AvgAsCln.sys
    2007-01-03 13:37 277,044 --a------ C:\WINDOWS\SYSTEM32\pmkjk.dll
    2007-01-03 12:22 <REP> dr-h----- C:\$VAULT$.AVG
    2007-01-03 12:13 <REP> d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\Help
    2007-01-03 12:08 816,672 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\avg7core.sys
    2007-01-03 12:08 4,224 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\avg7rsw.sys
    2007-01-03 12:08 3,968 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\avgclean.sys
    2007-01-03 12:08 28,416 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\avg7rsxp.sys
    2007-01-03 12:08 18,240 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\avgmfx86.sys
    2007-01-03 12:08 <REP> d-------- C:\DOCUME~1\LOCALS~1\Application Data\AVG7
    2007-01-03 12:08 <REP> d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\AVG7
    2007-01-03 12:07 <REP> d-------- C:\Program Files\Grisoft
    2007-01-03 12:07 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Grisoft
    2007-01-03 12:07 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\avg7
    2006-12-28 14:33 <REP> d---s---- C:\DOCUME~1\LOCALS~1\Favoris
    2006-12-28 14:33 <REP> d-------- C:\DOCUME~1\LOCALS~1\Application Data\Google
    2006-12-28 14:30 427,520 --a------ C:\WINDOWS\WRServices.dll
    2006-12-28 10:12 2,252 --a------ C:\WINDOWS\SYSTEM32\tmp.reg
    2006-12-28 10:10 <REP> d-------- C:\DOCUME~1\BENOIT~1.PRA\Application Data\Adobe
    2006-12-27 17:25 <REP> d-------- C:\WINDOWS\SYSTEM32\DRIVERS\UMDF
    2006-12-27 16:14 <REP> d-------- C:\!KillBox
    2006-12-27 14:52 <REP> d-------- C:\DOCUME~1\ALLUSE~1\Application Data\Spybot - Search & Destroy
    2006-12-27 12:33 <REP> d-------- C:\DOCUME~1\CHARLO~1.PER\Application Data\Toshiba
    2006-12-27 12:32 <REP> dr------- C:\DOCUME~1\CHARLO~1.PER\Menu D‚marrer
    2006-12-27 12:32 <REP> d--h----- C:\DOCUME~1\CHARLO~1.PER\Voisinage r‚seau
    2006-12-27 12:32 <REP> d--h----- C:\DOCUME~1\CHARLO~1.PER\Voisinage d'impression
    2006-12-27 12:32 <REP> d--h----- C:\DOCUME~1\CHARLO~1.PER\ModŠles
    2006-12-27 12:32 <REP> d---s---- C:\DOCUME~1\CHARLO~1.PER\Mes documents
    2006-12-27 12:32 <REP> d---s---- C:\DOCUME~1\CHARLO~1.PER\Favoris
    2006-12-27 12:32 <REP> d-------- C:\DOCUME~1\CHARLO~1.PER\Bureau
    2006-12-27 12:32 <REP> d-------- C:\DOCUME~1\CHARLO~1.PER\Application Data\Sun
    2006-12-27 12:32 <REP> d-------- C:\DOCUME~1\CHARLO~1.PER\Application Data\Sonic
    2006-12-27 10:47 <REP> d--h----- C:\Program Files\Fichiers communs\Uninstall Information
    2006-12-27 09:39 <REP> d-------- C:\Program Files\PeDevice
    2006-12-22 16:04 511,207 ---hs---- C:\WINDOWS\SYSTEM32\gjkkj.bak2
    2006-12-22 15:59 <REP> d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\Lavasoft


    (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


    2007-01-22 09:04 -------- d-------- C:\Program Files\symantec antivirus
    2007-01-19 17:20 -------- d-------- C:\Program Files\Fichiers communs\symantec shared
    2007-01-19 17:19 -------- d-------- C:\Program Files\symantec
    2007-01-18 10:54 -------- d-------- C:\Program Files\portefeuille
    2007-01-17 13:55 -------- d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\adobeum
    2007-01-03 09:52 -------- d-------- C:\Program Files\java
    2006-12-27 11:46 -------- d--h----- C:\Program Files\installshield installation information
    2006-12-27 10:41 -------- d-------- C:\Program Files\Fichiers communs\real
    2006-12-27 10:40 -------- d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\real
    2006-12-27 10:39 -------- d-------- C:\Program Files\google
    2006-12-22 17:25 -------- d-------- C:\Program Files\videolan
    2006-12-22 17:25 -------- d-------- C:\Program Files\vcw vicman's photo editor
    2006-12-21 16:04 464001 ---hs---- C:\WINDOWS\SYSTEM32\gjkkj.bak1
    2006-12-20 16:27 -------- d-------- C:\DOCUME~1\BENOIT~1.MON\Application Data\google
    2006-12-18 16:05 -------- d---s---- C:\DOCUME~1\BENOIT~1.MON\Application Data\microsoft
    2006-12-11 17:55 -------- d-------- C:\Program Files\zio interactive
    2006-12-11 14:33 -------- d-------- C:\Program Files\microsoft activesync
    2006-11-29 18:53 2508 --a------ C:\DOCUME~1\BENOIT~1.MON\Application Data\$_hpcst$.hpc
    2006-11-02 11:52 44032 --------- C:\WINDOWS\SYSTEM32\wpdshextres.dll


    (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

    *Note* empty entries & legit default entries are not shown

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
    "swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
    "H/PC Connection Agent"="\"C:\\PROGRA~1\\MICROS~3\\wcescomm.exe\""
    "updateMgr"="\"C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
    "SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_10\\bin\\jusched.exe\""
    "ATIPTA"="\"C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
    "Dell QuickSet"="C:\\Program Files\\Dell\\QuickSet\\quickset.exe"
    "DVDLauncher"="\"C:\\Program Files\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
    "QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
    "AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
    "ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
    "vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
    "Installed"="1"
    "NoChange"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
    "Installed"="1"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
    "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"=""
    "{A9CB8FDD-B26B-422C-8E24-E0C8E64E918A}"=""
    "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
    "WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
    "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

    [HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
    "AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebc
    HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuns32

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


    [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
    HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
    LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
    NetworkService REG_MULTI_SZ DnsCache\0\0
    DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
    rpcss REG_MULTI_SZ RpcSs\0\0
    imgsvc REG_MULTI_SZ StiSvc\0\0
    termsvcs REG_MULTI_SZ TermService\0\0
    WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0


    Completion time: 07-01-22 9:15:09

    Logfile of HijackThis v1.99.1
    Scan saved at 09:17:31, on 22/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\system32\basfipm.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
    C:\Program Files\Symantec AntiVirus\SavRoam.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\PROGRA~1\MICROS~3\wcescomm.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\Program Files\Digital Line Detect\DLG.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
    C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
    C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unilog.fr:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {218950D9-ED2A-494B-89D4-5AC3B6260999} - C:\WINDOWS\system32\geebc.dll (file missing)
    O2 - BHO: (no name) - {49967595-06E5-4EEE-93C4-14657AEB6E15} - C:\WINDOWS\system32\jkkjg.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {64FC147D-FBEC-804A-9427-81CD5C6C86C9} - C:\WINDOWS\system32\gbwjinx.dll (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\nmfimlgk.dll (file missing)
    O2 - BHO: (no name) - {A9CB8FDD-B26B-422C-8E24-E0C8E64E918A} - C:\WINDOWS\system32\mljjiih.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
    O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: Digital Line Detect.lnk = ?
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O17 - HKLM\Software\..\Telephony: DomainName = montpellier.unilog.fr
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = UNILOGMTP.fr
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O20 - Winlogon Notify: geebc - C:\WINDOWS\system32\geebc.dll (file missing)
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O20 - Winlogon Notify: winuns32 - winuns32.dll (file missing)
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

    a b 8 Sécurité
    22 Janvier 2007 18:13:56

    Re,

    - Lance Hijackthis ->Do a system scan only
    ->Coche les lignes ci-dessous :

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unilog.fr:3128
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {218950D9-ED2A-494B-89D4-5AC3B6260999} - C:\WINDOWS\system32\geebc.dll (file missing)
    O2 - BHO: (no name) - {49967595-06E5-4EEE-93C4-14657AEB6E15} - C:\WINDOWS\system32\jkkjg.dll (file missing)
    O2 - BHO: (no name) - {64FC147D-FBEC-804A-9427-81CD5C6C86C9} - C:\WINDOWS\system32\gbwjinx.dll (file missing)
    O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\nmfimlgk.dll (file missing)
    O2 - BHO: (no name) - {A9CB8FDD-B26B-422C-8E24-E0C8E64E918A} - C:\WINDOWS\system32\mljjiih.dll (file missing)
    O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
    O4 - Global Startup: Bluetooth Manager.lnk = ?
    O4 - Global Startup: Digital Line Detect.lnk = ?
    O20 - Winlogon Notify: geebc - C:\WINDOWS\system32\geebc.dll (file missing)
    O20 - Winlogon Notify: winuns32 - winuns32.dll (file missing)
    O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

    Clique sur Fix checked (en bas à gauche)

    Télécharge KillBox d'Option^Explicit.
    Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).

    Selectionne le texte dans le cadre :

    Citation :
    C:\WINDOWS\SYSTEM32\ssttt.dll
    C:\WINDOWS\SYSTEM32\geebb.dll
    C:\delete.bat
    C:\WINDOWS\SYSTEM32\jkkll.dll
    C:\WINDOWS\SYSTEM32\sstqq.dll
    C:\WINDOWS\SYSTEM32\pmkjk.dll
    C:\WINDOWS\SYSTEM32\gjkkj.bak2
    C:\WINDOWS\SYSTEM32\gjkkj.bak1


    ---> Clique Droit puis Copier.
    ----------

    -- Ouvre Killbox.exe
    -- Choisis "Delete on reboot"
    -- Clique sur :
    - " File " -> " Paste from Clipboard "
    - " All Files "

    Pour terminer clique sur [:angeldark:3]

    Une question te sera alors posée :
    " File will be Removed on Reboot, Do you want to reboot now ? "

    -- Répond par OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
    -- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.

    NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
    Redémarre ton PC manuellement.

    AIDE : Tuto sur KillBox (Jesses)

    &

    Télécharge Clean.zip (de Malekal),
    Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
    23 Janvier 2007 09:57:15

    Merci encore, ci-joint le rapport de Killbox et de Cliean

    Pocket Killbox version 2.0.0.648
    Running on Windows XP as benoit.pradelles(Administrator)
    was started @ mercredi, décembre 27, 2006, 4:14 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\79726308.exe


    I Rebooted @ 4:17:23 PM
    Killbox Closed(Exit) @ 4:17:24 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.648
    Running on Windows XP as benoit.pradelles(Administrator)
    was started @ mercredi, décembre 27, 2006, 4:23 PM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\system32\79726308.exe


    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\winwly32.dll


    # 3 [Delete on Reboot]
    Path = C:\Documents and Settings\COURCY\Local Settings\Application Data\79726308.exe


    # 4 [Delete on Reboot]
    Path = C:\WINDOWS\system32\sndcfg16.exe


    # 5 [Delete on Reboot]
    Path = C:\WINDOWS\system32\79726308.exe


    # 6 [Delete on Reboot]
    Path = C:\WINDOWS\system32\79726308.exe


    I Rebooted @ 4:24:55 PM
    Killbox Closed(Exit) @ 4:24:55 PM
    __________________________________________________

    Pocket Killbox version 2.0.0.648
    Running on Windows XP as benoit.pradelles(Administrator)
    was started @ mardi, janvier 23, 2007, 9:53 AM

    # 1 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\ssttt.dll


    # 2 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\geebb.dll


    # 3 [Delete on Reboot]
    Path = C:\delete.bat


    # 4 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\jkkll.dll


    # 5 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\sstqq.dll


    # 6 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\pmkjk.dll


    # 7 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\gjkkj.bak2


    # 8 [Delete on Reboot]
    Path = C:\WINDOWS\SYSTEM32\gjkkj.bak1


    I Rebooted @ 9:54:36 AM
    Killbox Closed(Exit) @ 9:54:37 AM
    __________________________________________________

    Pocket Killbox version 2.0.0.648
    Running on Windows XP as benoit.pradelles(Administrator)
    was started @ mardi, janvier 23, 2007, 9:57 AM

    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 1, executee le 23/01/2007 a 9:59:34,34

    *** Recherche de fichiers sur C:

    *** Recherche des fichiers dans C:\WINDOWS\
    C:\WINDOWS\smdat32m.sys FOUND

    *** Recherche des fichiers dans C:\WINDOWS\system32
    C:\WINDOWS\system32\mcrh.tmp FOUND

    "C:\Program Files\Need2Find\" FOUND
    "C:\Program Files\PeDevice\" FOUND
    *** Fin du rapport !


    Merci...
    a b 8 Sécurité
    23 Janvier 2007 17:44:51

    Re,

    Redémarre en mode sans échec

    Ouvre le dossier clean, double-clique sur clean.cmd.
    Choisis l'option 2 puis patiente.

    Redémarre normalement

    - Le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
    24 Janvier 2007 10:51:40

    Bonjour,

    Ci-joint rapport clean.

    Script execute en mode sans echec
    Rapport clean par Malekal_morte - http://www.malekal.com
    Option 2, executee le 24/01/2007 a 10:28:58,75

    Microsoft Windows XP [version 5.1.2600]

    *** Suppression de fichiers sur C:

    *** Suppression des fichiers dans C:\WINDOWS\
    tentative de suppression de C:\WINDOWS\smdat32m.sys

    *** Suppression des fichiers dans C:\WINDOWS\system32
    tentative de suppression de C:\WINDOWS\system32\mcrh.tmp

    tentative de suppression de "C:\Program Files\Need2Find\"
    tentative de suppression de "C:\Program Files\PeDevice\"

    *** Suppression des clefs du registre effectuee..
    *** Fin du rapport !
    a b 8 Sécurité
    24 Janvier 2007 14:05:28

    Reposte un rapport Hijackthis stp.
    24 Janvier 2007 17:46:51

    Ci-joint rapport Hijackthis. Merci.

    Logfile of HijackThis v1.99.1
    Scan saved at 17:49:22, on 24/01/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\WLTRYSVC.EXE
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\system32\basfipm.exe
    C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
    C:\Program Files\Symantec AntiVirus\SavRoam.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Dell\QuickSet\quickset.exe
    C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\PROGRA~1\MICROS~3\wcescomm.exe
    C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
    C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    C:\PROGRA~1\MICROS~3\rapimgr.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
    C:\Program Files\Microsoft ActiveSync\WCESMgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unilog.fr:3128
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
    O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
    O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~3\wcescomm.exe"
    O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe
    O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Créer un favori mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O17 - HKLM\Software\..\Telephony: DomainName = montpellier.unilog.fr
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = UNILOGMTP.fr
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = montpellier.unilog.fr
    O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
    O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
    O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
    O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

    a b 8 Sécurité
    24 Janvier 2007 19:29:25

    Re,

    Une vérification :) 

  • Fais un scan en ligne Kaspersky avec Internet Explorer :
  • Clique sur
  • Clique maintenant sur J'accepte.
  • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
  • Patiente pendant l'installation des Mises à jour.
  • Choisis par la suite l'analyse du Poste de travail
  • Sauvegarde puis colle le rapport généré en fin d'analyse.

    AIDE : Configurer le contrôle des ActiveX

    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
    25 Janvier 2007 10:49:44

    Bonjour,

    Je n'arrive à faire le scan en ligne. Il y a un souci dans l'installation. J'ai essayé à plusieurs reprises.
    Message d'erreur :
    "Certains composants sont endommagés où ne sont pas correctement installé. Veuillez réinstaller l'application!"

    Merci.
    a b 8 Sécurité
    25 Janvier 2007 12:43:45

    On fait autrement.

    Avec Internet Explorer
    Fais un scan en ligne Panda
    - Clique sur " Scan your PC "
    - Ensuite sur " Check Now "
    - /!\ Clique en bas sur " I don't Accept "
    Entre ton adresse e-mail puis commence le scan
    - Poste le rapport en fin d'analyse
    Si tu as Avast! désactive-le lors du scan
    25 Janvier 2007 19:40:39

    Voilou le Rapport Panda


    Incident Status Location

    Potentially unwanted tool:application/need2find Not disinfected hkey_current_user\software\Need2Find
    Potentially unwanted tool:application/altnet Not disinfected hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\AltnetDM
    Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\Anti\clean\clean\pskill.exe
    Potentially unwanted tool:Application/Pskill.K Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\Anti\clean.zip[clean/pskill.exe]
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\Anti\SmitfraudFix\SmitfraudFix\Process.exe
    Potentially unwanted tool:Application/Processor Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Bureau\Anti\SmitfraudFix.zip[SmitfraudFix/Process.exe]
    Spyware:Cookie/Bluestreak Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Cookies\benoit.pradelles@bluestreak[2].txt
    Spyware:Cookie/Doubleclick Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Cookies\benoit.pradelles@doubleclick[2].txt
    Spyware:Cookie/Tradedoubler Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Cookies\benoit.pradelles@tradedoubler[1].txt
    Spyware:Cookie/Xiti Not disinfected C:\Documents and Settings\benoit.pradelles.MONTPELLIER\Cookies\benoit.pradelles@xiti[1].txt
    Merci
    a b 8 Sécurité
    26 Janvier 2007 18:28:05

    Re,

    Démarrer/Exécuter/Regedit, supprime :
    hkey_current_user\software\Need2Find
    hkey_local_machine\software\microsoft\windows\currentversion\app management\arpcache\AltnetDM

    D'autres problèmes ?
    30 Janvier 2007 14:46:54

    Merci de ton aide et ton expertise je n'ai plus d'alerte tout à l'air de bien fonctionner.

    Bonne journée.
    a b 8 Sécurité
    30 Janvier 2007 17:44:52

    Re,

    Ton infection se nomme Vundo.

    Je t'invite à jeter un coup d'oeil à ces liens dans la mesure du possible, essaie de rapporter ton infection :

    Faire bouger les choses :


    Rapporte ton infection pour faire condamner les auteurs sur Malware-Complaints. Pour faire entendre notre voix, nous devons être le plus nombreux possibles, alors rapport ton infection :
    - Voir les règles de Malware-Complaints
    - Enregistre sur le forum à partir du bouton register en haut :
    Si tu as plus de 13 ans, choisir : I Agree to these terms and am over or exactly 13 years of age
    Si tu as moins, clic sur : I Agree to these terms and am under 13 years of age

    Après t'être enregistré, tu as sous forme de liste les types d'infection (Look2Me, Smitfraud, SpywareQuake etc..).

    Si le malware que tu as eu n'apparaît pas dans la liste, créé un message dans le sujet "Autres infections" conforme au règle du forum (age, ville, département etc..) : http://www.malwarecomplaints.info/viewforum.php?f=10
    Pour poster un message, clique sur le bouton "Post Reply" et remplir les informations - NE PAS CREER UN SUJET avec le bouton New Topic.
    Si tu ne connais pas le nom de ton infection, pose-moi la question ;) 

    AIDE : Consulter ce lien : http://www.malekal.com/malwarecomplaints.html.
    Si tu as des questions ou des problèmes, n'hésites pas à me demander ici ou à contacter un des modérateurs du forum : Kimberly, AgnesD ou ipl_001.

    Comment se protéger des virus :


  • Tout ceci est résumé sur cette page : [#ff0000]Sécuriser son ordinateur et connaître les menaces.[/#f]
  • Je t'invite aussi à mettre à jour tous les composants de ton système. Garde l'habitude de les maintenir à jour, un ordinateur avec des logiciels non à jour = infection ! Tu peux scanner ton ordinateur pour vérifier quels sont les progammes non à jour en suivant les directives de cette page : http://www.malekal.com/scan_vulnerabilite.php

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS