| Infecté par virus Trojan.Fakeav.AD | |
|
|
Auteur | Message |
---|
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Infecté par virus Trojan.Fakeav.AD Ven 19 Sep - 15:10:04 | |
| Bonjour, Mon antivirus a détecté Trojan.Fakeav.AD mais ne peut le supprimer. Merci de votre aide Voici mon rapport hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:39:37, on 19/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\QuickTime\qttask.exe C:\Apps\Powercinema\PCMService.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\Program Files\Thomson SpeedTouch\ST330\diagnostics\diagnostics.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Advanced Messenger Plus\AdvMsg.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe C:\WINDOWS\system32\LVComS.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Trend Micro\HijackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\ieso0.dll (file missing) O4 - HKLM\..\Run: [Windows UDP Control Center] ehSched.exe O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [diagnostics] "C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:fr O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Advanced Messenger Plus.lnk = C:\Program Files\Advanced Messenger Plus\AdvMsg.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: MioSync.lnk = C:\Program Files\Mio Technology\MioSync\mioSync.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll (file missing) O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ali-cia22.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/framework/lib/objimageuploader/html_include/5.1.1.0/ImageUploader5.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ali22751.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O17 - HKLM\System\CS1\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O17 - HKLM\System\CS2\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 10101 bytes | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Ven 19 Sep - 18:58:54 | |
| Salut fab22 et bienvenu sur le forum !! commence par faire ceci stp : ▶ Télécharger sur le bureau malwarebytes à cette adresse : http://forum-aide-contre-virus.be/t%E9l%E9chargements.html ▶ Voici un tuto pour bien l installer et bien l utiliser : http://forum-aide-contre-virus.be/tutoriel%20malwarebytes.html aide toi bien du tuto pour supprimer correctement ce qu il aura trouvé Après l analyse, redémarrer le pc et poste le rapport !!Et refais un nouveau rapport hijackthis stp | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: a Ven 19 Sep - 21:42:48 | |
| Bonsoir Geoffrey et merci de ta réponse rapide Voici le rapport de Malwarebytes': Malwarebytes' Anti-Malware 1.28 Version de la base de données: 1176 Windows 5.1.2600 Service Pack 2 19/09/2008 19:53:54 mbam-log-2008-09-19 (19-53-54).txt Type de recherche: Examen complet (C:\|) Eléments examinés: 92576 Temps écoulé: 35 minute(s), 47 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 8 Valeur(s) du Registre infectée(s): 4 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 2 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): HKEY_CLASSES_ROOT\iehlprobj.iehlprobj.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\y456.y456mgr (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\y456.y456mgr.1 (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{ce7c3cf0-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ce7c3cf0-4b15-11d1-abed-709549c10000} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\UAV (Rogue.UltimateAntivirus) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\e405.e405mgr (Trojan.Zlob) -> Quarantined and deleted successfully. Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootStera (Rogue.WinAntivirus) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Dossier(s) infecté(s): C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2006 (Rogue.WinAntivirus) -> Quarantined and deleted successfully. C:\Program Files\UAV (Rogue.UltimateAntivirus) -> Quarantined and deleted successfully. Fichier(s) infecté(s): C:\Documents and Settings\All Users\Menu Démarrer\Antivirus Scan.url (Trojan.Zlob) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Menu Démarrer\Online Spyware Test.url (Trojan.Zlob) -> Quarantined and deleted successfully. C:\WINDOWS\system32\stera.job (Rogue.WinAntivirus) -> Quarantined and deleted successfully. C:\WINDOWS\SVCHOST.INI (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Voici le rapposrt de Hijack This: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:42:34, on 19/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\QuickTime\qttask.exe C:\Apps\Powercinema\PCMService.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\Program Files\Thomson SpeedTouch\ST330\diagnostics\diagnostics.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Advanced Messenger Plus\AdvMsg.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe C:\WINDOWS\system32\LVComS.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Program Files\Trend Micro\HijackThis\HJT.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe" O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\Wanadoo\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM\..\Run: [diagnostics] "C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:fr O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [SNM] C:\Program Files\SpyNoMore\SNM.exe /startup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [kxva] C:\WINDOWS\system32\kxvo.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Advanced Messenger Plus.lnk = C:\Program Files\Advanced Messenger Plus\AdvMsg.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Image Transfer.lnk = C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: MioSync.lnk = C:\Program Files\Mio Technology\MioSync\mioSync.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll (file missing) O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\Securitoo\av_fw\Anti-Spyware\ieshield.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ali-cia22.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/framework/lib/objimageuploader/html_include/5.1.1.0/ImageUploader5.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ali22751.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 80.10.246.1 81.253.149.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 80.10.246.1 81.253.149.2 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe -- End of file - 9801 bytes | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Ven 19 Sep - 21:47:11 | |
| ok...on continue...
Option 1 - Recherche :
- Télécharge smitfraudfix et enregistre le sur le bureau à cette adresse (c est le numéro 2 en bas de la page) :
http://forum-aide-contre-virus.be/divers.html
- Ensuite double clique sur smitfraudfix puis exécuter
- Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
(attention : N utilises pas l option 2 si je ne te l ai pas demandé !!)
- copier/coller le rapport dans la réponse.
Un tutoriel sonore et animé est à ta disposition sur le site.
(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.) | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Ven 19 Sep - 22:07:02 | |
| Voici le rapport SmitFraudFix: SmitFraudFix v2.352 Rapport fait à 21:05:26,79, 19/09/2008 Executé à partir de C:\Documents and Settings\utilisateur\Bureau\SmitfraudFix OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT Le type du système de fichiers est NTFS Fix executé en mode normal »»»»»»»»»»»»»»»»»»»»»»»» Process C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\Program Files\QuickTime\qttask.exe C:\Apps\Powercinema\PCMService.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\HP\HP Software Update\HPWuSchd.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\Wanadoo\CnxMon.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\Program Files\Thomson SpeedTouch\ST330\diagnostics\diagnostics.exe C:\Program Files\Softwin\BitDefender10\bdmcon.exe C:\Program Files\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\Advanced Messenger Plus\AdvMsg.exe C:\Program Files\Softwin\BitDefender10\vsserv.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe C:\WINDOWS\system32\LVComS.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Windows Live\Messenger\usnsvc.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\WINDOWS\system32\cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\utilisateur
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\utilisateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\UTILIS~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="sockspy.dll"
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, les clés qui suivent ne sont pas forcément infectées!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," "System"=""
»»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 80.10.246.1 DNS Server Search Order: 81.253.149.2 HKLM\SYSTEM\CCS\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer=80.10.246.1 81.253.149.2 HKLM\SYSTEM\CS1\Services\Tcpip\..\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer=80.10.246.1 81.253.149.2
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Ven 19 Sep - 22:22:10 | |
| ok...
télécharge combofix (par sUBs) à cette adresse :
(c est le numéro 5 en bas de la page) : http://forum-aide-contre-virus.be/divers.html
- et enregistre le sur le Bureau.
- désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
ensuite envois le rapport et refais un nouveau rapport hijackthis stp | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Mer 24 Sep - 13:01:08 | |
| Bonjour Geoffrey, Voici avec un peu de retard mon rapport ComboFix comme tu me l'avais demandé: ComboFix 08-09-22.06 - utilisateur 2008-09-24 11:47:38.1 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.595 [GMT 2:00] Lancé depuis: C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Autorun.inf C:\Documents and Settings\utilisateur\Cookies\utilisateur@ad.yieldmanager[2].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@adultfriendfinder[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@bluestreak[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@edt02[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@serving-sys[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@specificclick[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@stats.searchtrack[2].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@tradedoubler[1].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@www.pixmania[3].txt C:\Documents and Settings\utilisateur\Cookies\utilisateur@wysistat[2].txt C:\Documents and Settings\utilisateur\Mes documents\My Documents.url C:\WINDOWS\system32\MabryObj.dll C:\WINDOWS\system32\MSINET.oca C:\WINDOWS\Temp\tmp3.tmp . ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-24 au 2008-09-24 )))))))))))))))))))))))))))))))))))) . 2008-09-22 22:19 . 2008-09-22 22:57 <REP> d-------- C:\WINDOWS\system32\CatRoot_bak 2008-09-19 19:15 . 2008-09-19 19:15 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Malwarebytes 2008-09-19 19:14 . 2008-09-19 19:14 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware 2008-09-19 19:14 . 2008-09-19 19:14 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes 2008-09-19 19:14 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys 2008-09-19 19:14 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-09-19 12:34 . 2008-09-19 12:34 <REP> d-------- C:\Program Files\Trend Micro 2008-09-18 10:12 . 2008-09-19 21:05 3,738 --a------ C:\WINDOWS\system32\tmp.reg 2008-09-18 09:48 . 2008-09-18 09:48 1,152 --a------ C:\WINDOWS\system32\windrv.sys 2008-09-17 18:19 . 2008-09-17 18:19 <REP> d-------- C:\Program Files\Enigma Software Group 2008-09-17 14:07 . 2008-09-17 14:07 <REP> d-------- C:\VundoFix Backups 2008-09-01 09:47 . 2008-09-01 09:47 <REP> d-------- C:\Documents and Settings\utilisateur\Application Data\Viewpoint 2008-09-01 09:47 . 2008-09-01 09:47 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Viewpoint . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-24 08:07 --------- d-----w C:\Documents and Settings\utilisateur\Application Data\U3 2008-09-23 10:03 --------- d-----w C:\Program Files\Securitoo 2008-09-22 12:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\BitDefender 2008-09-16 08:42 --------- d-----w C:\Program Files\Messenger Plus! Live 2008-09-01 16:01 --------- d-----w C:\Program Files\Mio Technology 2008-08-13 13:13 --------- d---a-w C:\Program Files\QuickTime 2008-08-13 13:13 --------- d-----w C:\Program Files\MUSK Codec Pack v5 2008-08-13 13:13 --------- d-----w C:\Program Files\DivX 2008-07-29 17:30 --------- d-----w C:\Program Files\Wanadoo 2008-07-28 07:48 --------- d-----w C:\Program Files\Fichiers communs\Softwin 2008-07-10 09:26 90,112 ----a-w C:\WINDOWS\DUMP5d23.tmp 2008-07-09 15:45 90,112 ----a-w C:\WINDOWS\DUMP4035.tmp . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 15360] "MessengerPlus3"="C:\Program Files\MessengerPlus! 3\MsgPlus.exe" [2006-06-26 190024] "msnmsgr"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VCSPlayer"="C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" [2003-08-13 299008] "TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-07-28 151597] "Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360] "QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2005-06-06 98304] "PCMService"="c:\Apps\Powercinema\PCMService.exe" [2004-01-30 81920] "LogitechVideoTray"="C:\Program Files\Logitech\Video\LogiTray.exe" [2004-02-12 77824] "LogitechVideoRepair"="C:\Program Files\Logitech\Video\ISStart.exe" [2004-02-12 188416] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152] "HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664] "ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 339968] "WooCnxMon"="C:\PROGRA~1\Wanadoo\CnxMon.exe" [2004-05-13 24576] "WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-05-13 24576] "WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\TaskbarIcon.exe" [2004-05-13 49152] "diagnostics"="C:\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" [2008-07-17 557149] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.VP31"= vp31vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Messenger\\msmsgs.exe"= "C:\\WINDOWS\\system32\\dpvsetup.exe"= "C:\\Documents and Settings\\utilisateur\\Mes documents\\fabien\\Call of Duty\\CoDMP.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"= "C:\\Program Files\\Thomson SpeedTouch\\ST330\\WebInstaller\\STHIW\\stInstall.exe"= "C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe"= R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2002-08-06 11264] R1 vcsmpdrv;vcsmpdrv;C:\WINDOWS\system32\DRIVERS\vcsmpdrv.sys [2003-06-16 49024] R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\Program Files\Securitoo\fswsclds.exe [2008-09-23 45056] R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\Program Files\Virtual CD v4 SDK\system\vcssecs.exe [2002-05-16 139264] R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-07-18 349056] R3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-07-18 24608] R3 ST330;ST330;C:\WINDOWS\system32\drivers\st330.sys [2008-07-17 30464] R3 STBUS;STBUS;C:\WINDOWS\system32\drivers\stbus.sys [2008-07-17 12672] R3 stppp;Speedtouch PPP Adapter Adapter;C:\WINDOWS\system32\DRIVERS\stppp.sys [2008-07-17 32000] S3 ASIOMI;ASIOMI;C:\WINDOWS\system32\drivers\ASIOMI.sys [2004-01-30 5396] S3 ca506aaf;ADS USB Audio Filter Driver (WDM);C:\WINDOWS\system32\drivers\ca506aaf.sys [2002-04-29 14273] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63a171f9-9b21-11db-a43c-000e500e0de7}] \Shell\AutoRun\command - F:\bicsxk03.com \Shell\explore\Command - F:\bicsxk03.com \Shell\open\Command - F:\bicsxk03.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc8db62e-b321-11dc-a64f-000e500e0de7}] \Shell\AutoRun\command - F:\bicsxk03.com \Shell\explore\Command - F:\bicsxk03.com \Shell\open\Command - F:\bicsxk03.com . Contenu du dossier 'Tâches planifiées' . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{144A6B24-0EBC-4D89-BF09-A06A718E57B5} - (no file) HKLM-Run-SpeedTouch USB Diagnostics - C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe HKLM-Run-SNM - C:\Program Files\SpyNoMore\SNM.exe HKLM-Run-CleanEasyImg - c:\apps\easydvd\cleanall.exe Notify-dimsntfy - (no file)
. ------- Examen supplémentaire ------- . R0 -: HKCU-Main,Start Page = hxxp://www.orange.fr/ O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O17 -: HKLM\CCS\Interface\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://copainsdavant.linternaute.com/framework/lib/objimageuploader/html_include/5.1.1.0/ImageUploader5.cab C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf C:\WINDOWS\system32\unicows.dll C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx O16 -: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab C:\WINDOWS\Downloaded Program Files\AdSignerADP.inf C:\WINDOWS\system32\msvcp60.dll C:\WINDOWS\system32\atl.dll C:\WINDOWS\Downloaded Program Files\AdVerifierADP.dll C:\WINDOWS\Downloaded Program Files\AdSignerADP.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-24 11:53:06 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\st330service] "ImagePath"="C:\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe -service" . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\WINDOWS\system32\winlogon.exe -> C:\WINDOWS\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe C:\WINDOWS\system32\ati2evxx.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Thomson SpeedTouch\ST330\diagnostics\diagnostics.exe C:\Program Files\ADVANC~1\AdvMsg.exe C:\WINDOWS\system32\LVComS.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe C:\Program Files\Nikon\PictureProject\NkbMonitor.exe C:\ComboFix\pv.cfexe . ************************************************************************** . Heure de fin: 2008-09-24 11:58:40 - La machine a redémarré [utilisateur] ComboFix-quarantined-files.txt 2008-09-24 09:58:37 Avant-CF: 123,566,678,016 octets libres Après-CF: 124,026,945,536 octets libres 181 --- E O F --- 2008-09-10 18:51:44 | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Mer 24 Sep - 14:59:42 | |
| Salut !!
fais ce qui suit maintenant stp :
==> Copie le texte en gras ci-dessous :
<gras>File:: c:\program files\spynomore\snm.exe
Folder::
Registry:: </gras>
==> Ouvre le Bloc-Notes puis colle le texte copié. (Démarrer\Tous les programmes\Accessoires\Bloc notes.) ==> Sauvegarde ce fichier sous le nom de CFScript.txt.
==> Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
https://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif
==> Cela va relancer Combofix,
==> Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
==> Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
==> Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.
==> S'il n'y a pas de rédémarrage, poste quand même les rapports.
et ensuite refais un nouveau rapport hijackthis stp | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Mer 24 Sep - 15:17:59 | |
| Nouveau rapport Combofix ci-dessous:
ComboFix 08-09-22.06 - utilisateur 2008-09-24 14:06:51.2 - NTFSx86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.588 [GMT 2:00] Lancé depuis: C:\\Documents and Settings\\utilisateur\\Bureau\\ComboFix.exe Commutateurs utilisés :: C:\\Documents and Settings\\utilisateur\\Bureau\\CFScript.txt..txt * Un nouveau point de restauration a été créé . ((((((((((((((((((((((((((((( Fichiers créés du 2008-08-24 au 2008-09-24 )))))))))))))))))))))))))))))))))))) . 2008-09-22 22:19 . 2008-09-22 22:57 d-------- C:\\WINDOWS\\system32\\CatRoot_bak 2008-09-19 19:15 . 2008-09-19 19:15 d-------- C:\\Documents and Settings\\utilisateur\\Application Data\\Malwarebytes 2008-09-19 19:14 . 2008-09-19 19:14 d-------- C:\\Program Files\\Malwarebytes' Anti-Malware 2008-09-19 19:14 . 2008-09-19 19:14 d-------- C:\\Documents and Settings\\All Users\\Application Data\\Malwarebytes 2008-09-19 19:14 . 2008-09-10 00:04 38,528 --a------ C:\\WINDOWS\\system32\\drivers\\mbamswissarmy.sys 2008-09-19 19:14 . 2008-09-10 00:03 17,200 --a------ C:\\WINDOWS\\system32\\drivers\\mbam.sys 2008-09-19 12:34 . 2008-09-19 12:34 d-------- C:\\Program Files\\Trend Micro 2008-09-18 10:12 . 2008-09-19 21:05 3,738 --a------ C:\\WINDOWS\\system32\\tmp.reg 2008-09-18 09:48 . 2008-09-18 09:48 1,152 --a------ C:\\WINDOWS\\system32\\windrv.sys 2008-09-17 18:19 . 2008-09-17 18:19 d-------- C:\\Program Files\\Enigma Software Group 2008-09-17 14:07 . 2008-09-17 14:07 d-------- C:\\VundoFix Backups 2008-09-01 09:47 . 2008-09-01 09:47 d-------- C:\\Documents and Settings\\utilisateur\\Application Data\\Viewpoint 2008-09-01 09:47 . 2008-09-01 09:47 d-------- C:\\Documents and Settings\\All Users\\Application Data\\Viewpoint . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-24 08:07 --------- d-----w C:\\Documents and Settings\\utilisateur\\Application Data\\U3 2008-09-23 10:03 --------- d-----w C:\\Program Files\\Securitoo 2008-09-22 12:30 81,984 ----a-w C:\\WINDOWS\\system32\\bdod.bin 2008-09-22 12:30 --------- d-----w C:\\Documents and Settings\\All Users\\Application Data\\BitDefender 2008-09-16 08:42 --------- d-----w C:\\Program Files\\Messenger Plus! Live 2008-09-01 16:01 --------- d-----w C:\\Program Files\\Mio Technology 2008-08-13 13:13 --------- d---a-w C:\\Program Files\\QuickTime 2008-08-13 13:13 --------- d-----w C:\\Program Files\\MUSK Codec Pack v5 2008-08-13 13:13 --------- d-----w C:\\Program Files\\DivX 2008-07-29 17:30 --------- d-----w C:\\Program Files\\Wanadoo 2008-07-28 07:48 --------- d-----w C:\\Program Files\\Fichiers communs\\Softwin 2008-07-18 20:10 94,920 ----a-w C:\\WINDOWS\\system32\\dllcache\\cdm.dll 2008-07-18 20:10 94,920 ----a-w C:\\WINDOWS\\system32\\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\\WINDOWS\\system32\\wuauclt.exe 2008-07-18 20:10 53,448 ----a-w C:\\WINDOWS\\system32\\dllcache\\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\\WINDOWS\\system32\\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\\WINDOWS\\system32\\wups.dll 2008-07-18 20:10 36,552 ----a-w C:\\WINDOWS\\system32\\dllcache\\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\\WINDOWS\\system32\\wuapi.dll 2008-07-18 20:09 563,912 ----a-w C:\\WINDOWS\\system32\\dllcache\\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\\WINDOWS\\system32\\wucltui.dll 2008-07-18 20:09 325,832 ----a-w C:\\WINDOWS\\system32\\dllcache\\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\\WINDOWS\\system32\\wuweb.dll 2008-07-18 20:09 205,000 ----a-w C:\\WINDOWS\\system32\\dllcache\\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\\WINDOWS\\system32\\wuaueng.dll 2008-07-18 20:09 1,811,656 ----a-w C:\\WINDOWS\\system32\\dllcache\\wuaueng.dll 2008-07-18 20:07 270,880 ----a-w C:\\WINDOWS\\system32\\mucltui.dll 2008-07-18 20:07 210,976 ----a-w C:\\WINDOWS\\system32\\muweb.dll 2008-07-10 09:26 90,112 ----a-w C:\\WINDOWS\\DUMP5d23.tmp 2008-07-09 15:45 90,112 ----a-w C:\\WINDOWS\\DUMP4035.tmp 2008-07-07 20:31 253,952 ----a-w C:\\WINDOWS\\system32\\es.dll 2008-07-07 20:31 253,952 ------w C:\\WINDOWS\\system32\\dllcache\\es.dll 2008-06-24 16:23 74,240 ----a-w C:\\WINDOWS\\system32\\mscms.dll 2008-06-24 16:23 74,240 ------w C:\\WINDOWS\\system32\\dllcache\\mscms.dll 2008-06-24 16:12 295,936 ------w C:\\WINDOWS\\system32\\wmpeffects.dll 2008-06-24 08:28 3,592,192 ----a-w C:\\WINDOWS\\system32\\dllcache\\mshtml.dll . ((((((((((((((((((((((((((((((((( Point de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe" [2004-08-20 15360] "MessengerPlus3"="C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe" [2006-06-26 190024] "msnmsgr"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe" [2007-10-18 5724184] [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run] "VCSPlayer"="C:\\Program Files\\Virtual CD v4 SDK\\system\\vcsplay.exe" [2003-08-13 299008] "TkBellExe"="C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe" [2004-07-28 151597] "Smapp"="C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe" [2003-07-30 143360] "QuickTime Task"="C:\\Program Files\\QuickTime\\qttask.exe" [2005-06-06 98304] "PCMService"="c:\\Apps\\Powercinema\\PCMService.exe" [2004-01-30 81920] "LogitechVideoTray"="C:\\Program Files\\Logitech\\Video\\LogiTray.exe" [2004-02-12 77824] "LogitechVideoRepair"="C:\\Program Files\\Logitech\\Video\\ISStart.exe" [2004-02-12 188416] "HP Software Update"="C:\\Program Files\\HP\\HP Software Update\\HPWuSchd.exe" [2003-08-04 49152] "HP Component Manager"="C:\\Program Files\\HP\\hpcoretech\\hpcmpmgr.exe" [2003-12-22 241664] "ATIPTA"="C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe" [2004-05-15 339968] "WooCnxMon"="C:\\PROGRA~1\\Wanadoo\\CnxMon.exe" [2004-05-13 24576] "WOOWATCH"="C:\\PROGRA~1\\Wanadoo\\Watch.exe" [2004-05-13 24576] "WOOTASKBARICON"="C:\\PROGRA~1\\Wanadoo\\TaskbarIcon.exe" [2004-05-13 49152] "diagnostics"="C:\\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" [2008-07-17 557149] [HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run] "CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE" [2004-08-20 15360] [HKEY_LOCAL_MACHINE\\software\\microsoft\\windows nt\\currentversion\\drivers32] "vidc.VP31"= vp31vfw.dll [HKLM\\~\\services\\sharedaccess\\parameters\\firewallpolicy\\standardprofile\\AuthorizedApplications\\List] "%windir%\\\\system32\\\\sessmgr.exe"= "C:\\\\Program Files\\\\Messenger\\\\msmsgs.exe"= "C:\\\\WINDOWS\\\\system32\\\\dpvsetup.exe"= "C:\\\\Documents and Settings\\\\utilisateur\\\\Mes documents\\\\fabien\\\\Call of Duty\\\\CoDMP.exe"= "%windir%\\\\Network Diagnostic\\\\xpnetdiag.exe"= "C:\\\\Program Files\\\\Windows Live\\\\Messenger\\\\msnmsgr.exe"= "C:\\\\Program Files\\\\Windows Live\\\\Messenger\\\\livecall.exe"= "C:\\\\Program Files\\\\Thomson SpeedTouch\\\\ST330\\\\WebInstaller\\\\STHIW\\\\stInstall.exe"= "C:\\\\Program Files\\\\Thomson SpeedTouch\\\\ST330\\\\service\\\\st330service.exe"= R1 Asapi;Asapi;C:\\WINDOWS\\system32\\drivers\\Asapi.sys [2002-08-06 11264] R1 vcsmpdrv;vcsmpdrv;C:\\WINDOWS\\system32\\DRIVERS\\vcsmpdrv.sys [2003-06-16 49024] R2 Fswsclds;F-Secure Windows Security Center Legacy Detection Service;C:\\Program Files\\Securitoo\\fswsclds.exe [2008-09-23 45056] R2 VCSSecS;Virtual CD v4 Security service (SDK - Version);C:\\Program Files\\Virtual CD v4 SDK\\system\\vcssecs.exe [2002-05-16 139264] R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\\WINDOWS\\system32\\DRIVERS\\Cap7134.sys [2003-07-18 349056] R3 PhTVTune;ASUS WDM TV Tuner;C:\\WINDOWS\\system32\\DRIVERS\\PhTVTune.sys [2003-07-18 24608] R3 ST330;ST330;C:\\WINDOWS\\system32\\drivers\\st330.sys [2008-07-17 30464] R3 STBUS;STBUS;C:\\WINDOWS\\system32\\drivers\\stbus.sys [2008-07-17 12672] R3 stppp;Speedtouch PPP Adapter Adapter;C:\\WINDOWS\\system32\\DRIVERS\\stppp.sys [2008-07-17 32000] S3 ASIOMI;ASIOMI;C:\\WINDOWS\\system32\\drivers\\ASIOMI.sys [2004-01-30 5396] S3 ca506aaf;ADS USB Audio Filter Driver (WDM);C:\\WINDOWS\\system32\\drivers\\ca506aaf.sys [2002-04-29 14273] [HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{63a171f9-9b21-11db-a43c-000e500e0de7}] \\Shell\\AutoRun\\command - F:\\bicsxk03.com \\Shell\\explore\\Command - F:\\bicsxk03.com \\Shell\\open\\Command - F:\\bicsxk03.com [HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{bc8db62e-b321-11dc-a64f-000e500e0de7}] \\Shell\\AutoRun\\command - F:\\bicsxk03.com \\Shell\\explore\\Command - F:\\bicsxk03.com \\Shell\\open\\Command - F:\\bicsxk03.com . Contenu du dossier 'Tâches planifiées' . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-24 14:09:26 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\\system\\ControlSet001\\Services\\st330service] "ImagePath"="C:\\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe -service" . --------------------- DLLs chargées dans les processus actifs --------------------- PROCESSUS: C:\\WINDOWS\\system32\\winlogon.exe -> C:\\WINDOWS\\system32\\Ati2evxx.dll . Heure de fin: 2008-09-24 14:12:22 ComboFix-quarantined-files.txt 2008-09-24 12:11:38 ComboFix2.txt 2008-09-24 09:58:41 Avant-CF: 124ÿ005ÿ105ÿ664 octets libres Après-CF: 123,995,099,136 octets libres 143 --- E O F --- 2008-09-10 18:51:44 | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Mer 24 Sep - 15:18:37 | |
| et voici le nouveau rapport HijackThis (cela ne passait pas dans la réponse précédente):
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:16:51, on 24/09/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\\WINDOWS\\System32\\smss.exe C:\\WINDOWS\\system32\\winlogon.exe C:\\WINDOWS\\system32\\services.exe C:\\WINDOWS\\system32\\lsass.exe C:\\WINDOWS\\System32\\Ati2evxx.exe C:\\WINDOWS\\system32\\svchost.exe C:\\WINDOWS\\System32\\svchost.exe C:\\Program Files\\Thomson SpeedTouch\\ST330\\service\\st330service.exe C:\\WINDOWS\\system32\\Ati2evxx.exe C:\\WINDOWS\\system32\\spoolsv.exe C:\\Program Files\\Securitoo\\fswsclds.exe C:\\Program Files\\Analog Devices\\SoundMAX\\SMAgent.exe C:\\WINDOWS\\System32\\svchost.exe C:\\Program Files\\Fichiers communs\\Ulead Systems\\DVD\\ULCDRSvr.exe C:\\Program Files\\Virtual CD v4 SDK\\system\\vcssecs.exe C:\\Program Files\\Virtual CD v4 SDK\\system\\vcsplay.exe C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe C:\\Program Files\\QuickTime\\qttask.exe C:\\Apps\\Powercinema\\PCMService.exe C:\\Program Files\\Logitech\\Video\\LogiTray.exe C:\\Program Files\\HP\\HP Software Update\\HPWuSchd.exe C:\\Program Files\\HP\\hpcoretech\\hpcmpmgr.exe C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe C:\\PROGRA~1\\Wanadoo\\CnxMon.exe C:\\PROGRA~1\\Wanadoo\\TaskbarIcon.exe C:\\Program Files\\Thomson SpeedTouch\\ST330\\diagnostics\\diagnostics.exe C:\\WINDOWS\\system32\\ctfmon.exe C:\\Program Files\\Advanced Messenger Plus\\AdvMsg.exe C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe C:\\WINDOWS\\system32\\LVComS.exe C:\\Program Files\\Sony Corporation\\Image Transfer\\SonyTray.exe C:\\WINDOWS\\system32\\wscntfy.exe C:\\Program Files\\Windows Live\\Messenger\\usnsvc.exe C:\\WINDOWS\\system32\\wuauclt.exe C:\\WINDOWS\\explorer.exe C:\\WINDOWS\\system32\\notepad.exe C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WLLoginProxy.exe C:\\Program Files\\Trend Micro\\HijackThis\\HJT.exe R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://www.orange.fr/ R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\\Software\\Microsoft\\Internet Explorer\\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\\Software\\Microsoft\\Internet Explorer\\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\\PROGRA~1\\Wanadoo\\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Program Files\\Adobe\\Acrobat 7.0\\ActiveX\\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\\Program Files\\Fichiers communs\\Microsoft Shared\\Windows Live\\WindowsLiveLogin.dll O4 - HKLM\\..\\Run: [VCSPlayer] "C:\\Program Files\\Virtual CD v4 SDK\\system\\vcsplay.exe" O4 - HKLM\\..\\Run: [TkBellExe] "C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe" -osboot O4 - HKLM\\..\\Run: [Smapp] C:\\Program Files\\Analog Devices\\SoundMAX\\SMTray.exe O4 - HKLM\\..\\Run: [QuickTime Task] "C:\\Program Files\\QuickTime\\qttask.exe" -atboottime O4 - HKLM\\..\\Run: [PCMService] "c:\\Apps\\Powercinema\\PCMService.exe" O4 - HKLM\\..\\Run: [LogitechVideoTray] C:\\Program Files\\Logitech\\Video\\LogiTray.exe O4 - HKLM\\..\\Run: [LogitechVideoRepair] C:\\Program Files\\Logitech\\Video\\ISStart.exe O4 - HKLM\\..\\Run: [HP Software Update] "C:\\Program Files\\HP\\HP Software Update\\HPWuSchd.exe" O4 - HKLM\\..\\Run: [HP Component Manager] "C:\\Program Files\\HP\\hpcoretech\\hpcmpmgr.exe" O4 - HKLM\\..\\Run: [ATIPTA] C:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe O4 - HKLM\\..\\Run: [WooCnxMon] C:\\PROGRA~1\\Wanadoo\\CnxMon.exe O4 - HKLM\\..\\Run: [WOOWATCH] C:\\PROGRA~1\\Wanadoo\\Watch.exe O4 - HKLM\\..\\Run: [WOOTASKBARICON] C:\\PROGRA~1\\Wanadoo\\TaskbarIcon.exe O4 - HKLM\\..\\Run: [diagnostics] "C:\\Program Files/Thomson SpeedTouch/ST330/diagnostics/diagnostics.exe" /icon -l:fr O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe O4 - HKCU\\..\\Run: [MessengerPlus3] "C:\\Program Files\\MessengerPlus! 3\\MsgPlus.exe" /WinStart O4 - HKCU\\..\\Run: [msnmsgr] "C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe" /background O4 - HKUS\\S-1-5-18\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\\.DEFAULT\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\CTFMON.EXE (User 'Default user') O4 - Global Startup: Advanced Messenger Plus.lnk = C:\\Program Files\\Advanced Messenger Plus\\AdvMsg.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe O4 - Global Startup: Image Transfer.lnk = C:\\Program Files\\Sony Corporation\\Image Transfer\\SonyTray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe O4 - Global Startup: MioSync.lnk = C:\\Program Files\\Mio Technology\\MioSync\\mioSync.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\\Program Files\\Nikon\\PictureProject\\NkbMonitor.exe O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\\PROGRA~1\\MICROS~3\\OFFICE11\\EXCEL.EXE/3000 O9 - Extra button: Protection Internet Explorer - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\\Program Files\\Securitoo\\av_fw\\Anti-Spyware\\ieshield.dll (file missing) O9 - Extra 'Tools' menuitem: Protection Internet Explorer... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\\Program Files\\Securitoo\\av_fw\\Anti-Spyware\\ieshield.dll (file missing) O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\\PROGRA~1\\MICROS~3\\OFFICE11\\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\\WINDOWS\\System32\\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe O9 - Extra button: Wanadoo - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - http://www.wanadoo.fr (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=file://C:\\APPS\\IE\\offline\\fr.htm O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ali-cia22.spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://copainsdavant.linternaute.com/framework/lib/objimageuploader/html_include/5.1.1.0/ImageUploader5.cab O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ali22751.spaces.live.com/PhotoUpload/MsnPUpld.cab O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\\System\\CCS\\Services\\Tcpip\\..\\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O17 - HKLM\\System\\CS1\\Services\\Tcpip\\..\\{0896DD19-6DD5-4147-938C-004C2DC448DC}: NameServer = 81.253.149.9 80.10.246.132 O23 - Service: Ati HotKey Poller - Unknown owner - C:\\WINDOWS\\System32\\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\\WINDOWS\\system32\\ati2sgag.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\\Program Files\\Securitoo\\fswsclds.exe O23 - Service: Pml Driver HPZ12 - HP - C:\\WINDOWS\\System32\\HPZipm12.exe O23 - Service: SmartLinkService (SLService) - - C:\\WINDOWS\\SYSTEM32\\slserv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\\Program Files\\Analog Devices\\SoundMAX\\SMAgent.exe O23 - Service: SpeedTouch 330 Manager (st330service) - THOMSON Telecom Belgium - C:\\Program Files/Thomson SpeedTouch/ST330/service/st330service.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\\Program Files\\Fichiers communs\\Ulead Systems\\DVD\\ULCDRSvr.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\\Program Files\\Virtual CD v4 SDK\\system\\vcssecs.exe -- End of file - 8633 bytes | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Mer 24 Sep - 15:44:28 | |
| relance hijackthis en cliquant sur scan only et coches ces lignes stp :
O4 - HKLM\\..\\Run: [VCSPlayer] "C:\\Program Files\\Virtual CD v4 SDK\\system\\vcsplay.exe" O4 - HKLM\\..\\Run: [TkBellExe] "C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe" -osboot O4 - HKLM\\..\\Run: [QuickTime Task] "C:\\Program Files\\QuickTime\\qttask.exe" -atboottime O4 - HKLM\\..\\Run: [WOOTASKBARICON] C:\\PROGRA~1\\Wanadoo\\TaskbarIcon.exe O4 - Global Startup: Image Transfer.lnk = C:\\Program Files\\Sony Corporation\\Image Transfer\\SonyTray.exe O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\\Program Files\\Adobe\\Acrobat 7.0\\Reader\\reader_sl.exe
puis tu cliques sur fix checked.
vas aussi faire la mise à niveau d adobe reader : http://www.adobe.com/fr/products/acrobat/readstep2.html
est ce que tu as encore des problemes ?? | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Ven 26 Sep - 10:53:24 | |
| Bonjour Geoffrey, J'ai suivi tes conseils et a priori il n'y a plus de problèmes. Je te remercie pour ta disponibilité et ton initiative avec ce forum. Fabien | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Ven 26 Sep - 15:55:47 | |
| Salut fab !! Mais de rien, je t ai aidé avec plaisir Si tu n as plus de problemes tu peux faire ceci pour terminer stp : Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques : ==> Télécharge Toolscleaner sur ton Bureau (c est le numéro 15 en bas de la page) : ==> Double-clique sur ToolsCleaner2.exe et laisse le travailler ==> Clique sur Recherche et laisse le scan se terminer. ==> Clique sur Suppression pour finaliser. ==> Tu peux, si tu le souhaites, te servir des Options facultatives. ==> Clique sur Quitter, pour que le rapport puisse se créer. ==> Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse Désactive et réactive la Restauration du système : 1 Dans la barre des tâches de Windows, clique sur Démarrer. 2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 4 Clique sur Appliquer. 5 Ensuite décoche "Désactiver la restauration du systeme" 6 clique sur appliquer puis ok 7 vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom (exemple : après désinfection) puis tu valides. PS : les liens de toolscleaner, etc... C est mon site web si ca peut t aider ;-) | |
|
| |
fab22 Membre
Nombre de messages : 8 Age : 40 Date d'inscription : 19/09/2008
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD Mar 30 Sep - 23:18:54 | |
| Bonsoir Geoffrey, Voilà j'ai fait tout ce que tu m'as demandé et voici ci-dessous le rapport Tools cleaner: [ Rapport ToolsCleaner version 2.2.3 (par A.Rothstein & dj QUIOU) ] -->- Recherche: C:\VundoFix.txt: trouvé ! C:\Combofix.txt: trouvé ! C:\Combofix: trouvé ! C:\Vundofix backups: trouvé ! C:\Qoobox: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé ! C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe: trouvé ! C:\Documents and Settings\utilisateur\Bureau\SmitFraudFix.exe: trouvé ! C:\Documents and Settings\utilisateur\Bureau\SmitFraudfix: trouvé ! C:\Program Files\Trend Micro\HijackThis: trouvé ! C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé ! --------------------------------- -->- Suppression: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé ! C:\Documents and Settings\utilisateur\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !! C:\Documents and Settings\utilisateur\Bureau\SmitFraudFix.exe: supprimé ! C:\VundoFix.txt: supprimé ! C:\Combofix.txt: supprimé ! C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé ! C:\Combofix: supprimé ! C:\Vundofix backups: supprimé ! C:\Qoobox: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé ! C:\Documents and Settings\utilisateur\Bureau\SmitFraudfix: supprimé ! C:\Program Files\Trend Micro\HijackThis: supprimé ! | |
|
| |
geoffrey5 Admin
Nombre de messages : 1849 Age : 43 Localisation : Liège - Belgique Système d\'exploitation * : XP IBM processeur Intel Celeron 2.4ghz 1.5GB RAM Date d'inscription : 28/07/2008
| Sujet: Re: ... Mar 30 Sep - 23:26:08 | |
| Salut !! C est ok tu peux aussi supprimer combofix qui est sur ton bureau | |
|
| |
Contenu sponsorisé
| Sujet: Re: Infecté par virus Trojan.Fakeav.AD | |
| |
|
| |
| Infecté par virus Trojan.Fakeav.AD | |
|