Votre question

your computer is in danger

Tags :
  • Danger
  • Sécurité
Dernière réponse : dans Sécurité et virus
17 Janvier 2007 16:25:07

sa fet 3 jour que j'essaie denlever ses foutue ecrant noire mes je ny arive pas jore besoin d'un peu d'aide svpppppp

Autres pages sur : your computer danger

a b 8 Sécurité
17 Janvier 2007 16:33:31

BONJOUR !!!

Citation :
Pas de SMS :
Un forum n'est pas un portable ou un chat ! Les posts rédigés à la va-vite avec des mots à peine formés n'intéressent personne et vous font mal voir aux yeux des autres utilisateurs. De plus, c'est un manque de respect total pour ceux qui se donnent la peine d'aider bénévolement.


Télécharge Smitfraudfix (de S!ri).
Enregistre-le sur ton bureau.
Lance SmitfraudFix.exe (le .exe peut ne pas apparaitre).
Choisis l'Option 1 (Recherche)
Poste le premier rapport ici.

NOTE :
process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
17 Janvier 2007 16:35:52

SmitFraudFix v2.132

Rapport fait à 16:31:38,68, 17/01/2007
Executé à partir de C:\Documents and Settings\HOME\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\desktop.html PRESENT !
C:\WINDOWS\xpupdate.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\taskdir.exe PRESENT !
C:\WINDOWS\system32\zlbw.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HOME


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HOME\Application Data

C:\Documents and Settings\HOME\Application Data\Install.dat PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HOME\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

pe386 détecté, utilisez un scanner de Rootkit

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Contenus similaires
a b 8 Sécurité
17 Janvier 2007 16:37:09

Re,

Télécharge Rustbfix (par ejvindh)
**Si le lien ne fonctionne pas, clique ici**
Sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer le PC. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (C:\avenger.txt & C:\Rustbfix\pelog.txt).
Poste (Copie/Colle) le contenu de ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse.
17 Janvier 2007 16:44:47

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mssaenlv

*******************

Script file located at: \??\C:\WINDOWS\System32\iqyievas.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Driver PE386 unloaded successfully.
Program C:\Rustbfix\2run.bat successfully set up to run once on reboot.

Completed script processing.

*******************

Finished! Terminate.
17 Janvier 2007 16:45:01

************************* Rustock.b-fix -- By ejvindh *************************
17/01/2007 16:38:44,17

******************* Pre-run Status of system *******************

Rootkit driver PE386 is found. Starting the unload-procedure....

Rustock.b-ADS attached to the System32-folder:
:lzx32.sys 65568
Total size: 65568 bytes.
Attempting to remove ADS...
system32: deleted 65568 bytes in 1 streams.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************* Post-run Status of system *******************

Rustock.b-driver on the system: NONE!

Rustock.b-ADS attached to the System32-folder:
No System32-ADS found.

Looking for Rustock.b-files in the System32-folder:
No Rustock.b-files found in system32


******************************* End of Logfile ********************************
17 Janvier 2007 16:45:50

************************* Rustock.b-fix -- By ejvindh *************************
17/01/2007 16:45:40,75

No Rustock.b-rootkits found

******************************* End of Logfile ********************************
a b 8 Sécurité
17 Janvier 2007 16:55:19

Re,

Redémarre en mode sans échec

Lance SmitfraudFix.exe et choisis cette fois l’Option 2 et réponds oui à la ou les questions.
Sauvegarde le rapport sur ton Bureau.

Redémarre normalement.

Poste les rapports Hijackthis et SmitfraudFix.
17 Janvier 2007 16:58:00

mitFraudFix v2.132

Rapport fait à 16:56:57,31, 17/01/2007
Executé à partir de C:\Documents and Settings\HOME\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\desktop.html supprimé
C:\WINDOWS\xpupdate.exe supprimé
C:\WINDOWS\system32\taskdir.exe supprimé
C:\WINDOWS\system32\zlbw.dll supprimé
C:\Documents and Settings\HOME\Application Data\Install.dat supprimé

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

a b 8 Sécurité
17 Janvier 2007 17:00:43

Re,

- Télécharge Hijackthis (de Merjin).
- Dézippe le dans un dossier ou sur ton bureau.

- Lance l'application.
- Choisis l'option "Do a system scan and save a logfile"
-- Le Bloc-Notes s'ouvre :
-> Edition / Sélectionner Tout
-> Edition / Copier
- Colle le rapport ici.

AIDE : Tuto sur Hijackthis (Malekal)
17 Janvier 2007 17:05:30

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\HOME\Local Settings\Temp\Répertoire temporaire 1 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\System32\spoolsvv.exe
O4 - HKLM\..\Run: [lmjvservc] capneuxv.exe
O4 - HKLM\..\Run: [Ultimate Cleaner] "C:\Program Files\Ultimate Cleaner\App.exe" hide
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [jmlcv4m] C:\WINDOWS\System32\sdmvdlxe.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\bsmvvgo.exe
O4 - HKCU\..\Run: [mdwinllm3] C:\WINDOWS\System32\mmcvwli.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\amcxlss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: kwpjWqQzuO - {B8229FE7-1288-354D-E200-F97EA5A752C5} - C:\WINDOWS\System32\cqqmlee.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a b 8 Sécurité
17 Janvier 2007 17:09:04

Bien infecté ! :ouch: 

Télécharge Clean.zip (de Malekal),
Décompresse-le sur ton bureau (Clique-Droit/Extraire tout), tu dois obtenir un dossier Clean.
Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 1 puis patiente. Poste ensuite le contenu du rapport.
17 Janvier 2007 17:14:22

Rapport clean par Malekal_morte - http://www.malekal.com
Option 1, executee le 17/01/2007 a 17:13:56,04

*** Recherche de fichiers sur C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\dlh9jkd?q?.exe FOUND
C:\WINDOWS\system32\bdod.bin FOUND
C:\WINDOWS\system32\DAP.exe FOUND
C:\WINDOWS\system32\dlh9jkd?q?.exe FOUND
C:\WINDOWS\system32\game?.exe.exe FOUND
C:\WINDOWS\system32\game?.exe FOUND
C:\WINDOWS\system32\kr_done1 FOUND
C:\WINDOWS\system32\vxg4*.exe FOUND
C:\WINDOWS\system32\adir.dll FOUND
C:\WINDOWS\system32\vx.tll FOUND

*** Fin du rapport !
a b 8 Sécurité
17 Janvier 2007 17:16:04

Re,

Redémarre en mode sans échec

Ouvre le dossier clean, double-clique sur clean.cmd.
Choisis l'option 2 puis patiente.

Redémarre normalement

- Le rapport clean : Poste de travail / double clic sur disque C / double-clic sur rapport_clean.txt et copier/coller le contenu ici C:\rapport_clean.txt
17 Janvier 2007 17:27:19

j'ai redemmaré mon ordinateur et pus de fond d'ecran genial merci de ton aide jte remercire jamais asser!!
a b 8 Sécurité
17 Janvier 2007 17:29:07

Fais ce que j'ai dit !
Tu es très infecté !
17 Janvier 2007 17:33:50

ript execute en mode sans echec
Rapport clean par Malekal_morte - http://www.malekal.com
Option 2, executee le 17/01/2007 a 17:19:21,82

Microsoft Windows XP [version 5.1.2600]

*** Suppression de fichiers sur C:

*** Suppression des fichiers dans C:\WINDOWS\

*** Suppression des fichiers dans C:\WINDOWS\system32
tentative de suppression de C:\WINDOWS\system32\dlh9jkd?q?.exe
tentative de suppression de C:\WINDOWS\system32\bdod.bin
tentative de suppression de C:\WINDOWS\system32\DAP.exe
tentative de suppression de C:\WINDOWS\system32\game?.exe.exe
tentative de suppression de C:\WINDOWS\system32\game?.exe
tentative de suppression de C:\WINDOWS\system32\kr_done1
tentative de suppression de C:\WINDOWS\system32\vxg4*.exe
tentative de suppression de C:\WINDOWS\system32\adir.dll
tentative de suppression de C:\WINDOWS\system32\vx.tll


*** Suppression des clefs du registre effectuee..
*** Fin du rapport !
a b 8 Sécurité
17 Janvier 2007 17:46:46

Reposte un rapport Hijackthis.
17 Janvier 2007 17:49:09

Logfile of HijackThis v1.99.1
Scan saved at 17:48:57, on 17/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\capneuxv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\sdmvdlxe.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\bsmvvgo.exe
C:\WINDOWS\System32\mmcvwli.exe
C:\WINDOWS\System32\amcxlss.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\HOME\Local Settings\Temp\Répertoire temporaire 2 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [lmjvservc] capneuxv.exe
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [jmlcv4m] C:\WINDOWS\System32\sdmvdlxe.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\bsmvvgo.exe
O4 - HKCU\..\Run: [mdwinllm3] C:\WINDOWS\System32\mmcvwli.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\amcxlss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: kwpjWqQzuO - {B8229FE7-1288-354D-E200-F97EA5A752C5} - C:\WINDOWS\System32\cqqmlee.dll (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a b 8 Sécurité
17 Janvier 2007 17:52:16

Re,

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\System32\imtqodk.dll (file missing)
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\System32\rundll32.exe "C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [lmjvservc] capneuxv.exe
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [jmlcv4m] C:\WINDOWS\System32\sdmvdlxe.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\bsmvvgo.exe
O4 - HKCU\..\Run: [mdwinllm3] C:\WINDOWS\System32\mmcvwli.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\amcxlss.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O21 - SSODL: kwpjWqQzuO - {B8229FE7-1288-354D-E200-F97EA5A752C5} - C:\WINDOWS\System32\cqqmlee.dll (file missing)

Clique sur Fix checked (en bas à gauche)

Télécharge KillBox d'Option^Explicit.
Dézippe le dans un dossier ou sur ton bureau (Clique droit puis Extraire Tout).

Selectionne le texte dans le cadre :

Citation :
C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll
C:\WINDOWS\system32\atllsimm.exe
C:\WINDOWS\System32\sdmvdlxe.exe
C:\WINDOWS\System32\bsmvvgo.exe
C:\WINDOWS\System32\mmcvwli.exe
C:\WINDOWS\System32\amcxlss.exe
C:\WINDOWS\web\related.htm
C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll


---> Clique Droit puis Copier.
----------

-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "

Pour terminer clique sur [:angeldark:3]

Une question te sera alors posée :
" File will be Removed on Reboot, Do you want to reboot now ? "

-- Répond par OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
-- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.

AIDE : Tuto sur KillBox (Jesses)
17 Janvier 2007 18:15:09


Killbox Closed(Exit) @ 6:05:15 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as HOME(Administrator)
was started @ mercredi, janvier 17, 2007, 6:05 PM

Killbox Closed(Exit) @ 6:06:06 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as HOME(Administrator)
was started @ mercredi, janvier 17, 2007, 6:06 PM

Killbox Closed(Exit) @ 6:07:41 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as HOME(Administrator)
was started @ mercredi, janvier 17, 2007, 6:08 PM

# 1 [Delete on Reboot]
Path = C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:09:36 PM
# 2 [Delete on Reboot]
Path = C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll


# 3 [Delete on Reboot]
Path = C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:10:24 PM
Killbox Closed(Exit) @ 6:10:38 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as HOME(Administrator)
was started @ mercredi, janvier 17, 2007, 6:10 PM

# 1 [Delete on Reboot]
Path = C:\Documents and Settings\HOME\Local Settings\Application Data\wdokbye.dll


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:11:14 PM
Killbox Closed(Exit) @ 6:11:17 PM
__________________________________________________

Pocket Killbox version 2.0.0.648
Running on Windows XP as HOME(Administrator)
was started @ mercredi, janvier 17, 2007, 6:14 PM

a b 8 Sécurité
17 Janvier 2007 18:16:47

Reposte un rapport Hijackthis stp.
17 Janvier 2007 18:18:46

Logfile of HijackThis v1.99.1
Scan saved at 18:18:30, on 17/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\HOME\Local Settings\Temp\Répertoire temporaire 4 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a b 8 Sécurité
17 Janvier 2007 18:23:36

Re,

Télécharge puis installe AVG Anti-Spyware (AVG AS)
Une fois AVG AS lancé, clique sur "Mise à jour"
Ferme le programme.
AIDE : Tuto sur AVG Antispyware (Malekal)

Redémarre en mode sans échec

Relance AVG AS puis choisis l'onglet "Analyse"
Puis l'onglet "Paramètres"
Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

/!\ Si un fichier est infecté en fin d'analyse /!\
Clique sur "Appliquer toutes les actions "

Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
Enregistre ce fichier texte sur ton bureau.

Redémarre normalement
Copie/Colle le rapport AVG AS ainsi qu'un rapport Hijackthis.
17 Janvier 2007 18:44:37

Créé à: 18:43:33 17/01/2007

+ Résultat de l'analyse:



HKU\S-1-5-21-861567501-436374069-839522115-1003\CLSID\{1474CE44-8057-4AE3-8F3E-ED37C7C63D8A} -> Adware.MWSearch : Aucune action entreprise.
HKU\S-1-5-21-861567501-436374069-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Uninstall\hoterotik -> Dialer.Generic : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0002585.exe -> Downloader.Small : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0003521.dll -> Proxy.Agent.df : Aucune action entreprise.
C:\WINDOWS\system32\wincom32.sys -> Rootkit.Agent.dh : Aucune action entreprise.
:mozilla.189:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.190:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.247realmedia : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@247realmedia[1].txt -> TrackingCookie.247realmedia : Aucune action entreprise.
:mozilla.111:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.178:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.51:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.67:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@adtech[2].txt -> TrackingCookie.Adtech : Aucune action entreprise.
:mozilla.73:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.74:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.75:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.76:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@advertising[2].txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.19:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@atdmt[2].txt -> TrackingCookie.Atdmt : Aucune action entreprise.
:mozilla.191:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@banner.casinoking[2].txt -> TrackingCookie.Casinoking : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@casinoking[1].txt -> TrackingCookie.Casinoking : Aucune action entreprise.
:mozilla.18:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.142:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
:mozilla.95:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Fastclick : Aucune action entreprise.
:mozilla.96:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Fastclick : Aucune action entreprise.
:mozilla.97:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Fastclick : Aucune action entreprise.
:mozilla.98:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Fastclick : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@findwhat[1].txt -> TrackingCookie.Findwhat : Aucune action entreprise.
:mozilla.181:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Googleadservices : Aucune action entreprise.
:mozilla.30:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@mediaplex[1].txt -> TrackingCookie.Mediaplex : Aucune action entreprise.
:mozilla.153:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.154:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.155:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.156:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.157:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.50:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Serving-sys : Aucune action entreprise.
:mozilla.10:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.6:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.7:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.8:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.9:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.158:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
:mozilla.159:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
:mozilla.11:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.12:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.13:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.14:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.15:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.16:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\HOME\Cookies\home@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.31:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yadro : Aucune action entreprise.
:mozilla.32:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yadro : Aucune action entreprise.
:mozilla.33:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\HOME\Application Data\Mozilla\Firefox\Profiles\h82npgns.default\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise.
C:\WINDOWS\system32\out.dll -> Trojan.Agent.adl : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0002591.exe -> Trojan.Small : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0002592.exe -> Trojan.Small : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0002593.exe -> Trojan.Small : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP14\A0002482.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0003520.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0003570.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0004570.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0004571.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0005591.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0006591.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0006592.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP15\A0007594.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP17\A0007644.dll -> Worm.Banwarum.f : Aucune action entreprise.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP17\A0007681.dll -> Worm.Banwarum.f : Aucune action entreprise.


Fin du rapport

17 Janvier 2007 18:48:22

Logfile of HijackThis v1.99.1
Scan saved at 18:48:09, on 17/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\HOME\Local Settings\Temp\Répertoire temporaire 6 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a b 8 Sécurité
17 Janvier 2007 19:03:44

Tu n'as rien supprimé avec le scan, refais le :sarcastic: 
17 Janvier 2007 19:34:10

--------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 19:32:45 17/01/2007

+ Résultat de l'analyse:



C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007786.dll -> Adware.SpyMarshal : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007787.dll -> Adware.SpyMarshal : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007788.dll -> Adware.SpyMarshal : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007789.dll -> Adware.SpyMarshal : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007785.exe -> Adware.SpySheriff : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007784.sys -> Rootkit.Agent.dh : Nettoyé.
C:\Documents and Settings\HOME\Cookies\home@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
C:\Documents and Settings\HOME\Cookies\home@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Nettoyé.
C:\System Volume Information\_restore{AF869D8D-4A81-461E-AB58-DEB317E5E1CE}\RP19\A0007783.dll -> Trojan.Agent.adl : Nettoyé.


Fin du rapport

17 Janvier 2007 19:34:29

Logfile of HijackThis v1.99.1
Scan saved at 19:34:18, on 17/01/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\MSI\Live Update 3\LMonitor.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\HOME\Local Settings\Temp\Répertoire temporaire 5 pour hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [LiveMonitor] C:\Program Files\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\svchost.exe:exe.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

a b 8 Sécurité
17 Janvier 2007 19:42:00

Re,

- Lance Hijackthis ->Do a system scan only
->Coche les lignes ci-dessous :

O4 - HKCU\..\Run: [cwingllib] C:\WINDOWS\system32\atllsimm.exe
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documents\Settings\winsys2f.dll (file missing)

Clique sur Fix checked (en bas à gauche)

Selectionne le texte dans le cadre :

Citation :
C:\WINDOWS\system32\atllsimm.exe


---> Clique Droit puis Copier.
----------

-- Ouvre Killbox.exe
-- Choisis "Delete on reboot"
-- Clique sur :
- " File " -> " Paste from Clipboard "
- " All Files "

Pour terminer clique sur [:angeldark:3]

Une question te sera alors posée :
" File will be Removed on Reboot, Do you want to reboot now ? "

-- Répond par OUI, un compte à rebours s'enclenche, ton PC va redémarrer.
-- Après redémarrage, relance Killbox puis clique sur le menu : Files -> Logs -> Actions History Log, poste ce rapport ici.

NOTE: Si tu reçois le message "PendingFileRenameOperations Registry Data has been removed by external process!"
Redémarre ton PC manuellement.

AIDE : Tuto sur KillBox (Jesses)
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS