Virus msn !
Bonsoir, j'ai attrapé un vilain virus, le fameux "T'as vu ta tof..."
J'ai essayé de m'en sortir par moi-même avec msnfix mais sans résultat... Tous mes contacts me crient dessus...
Alors voilà j'ai téléchargé hijackthis et je poste ici le rapport...
Merci d'avance à mon sauveur !
Liv
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:06, on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\V0230Mon.exe
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Lexmark 2500 Series\lxddmon.exe
C:\Program Files\Lexmark 2500 Series\lxddamon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM
E~1\mimi\LOCALS~1\Temp\services.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared
Files\Programs\MediaCenterService\PMC.Service.Main
.exe" -host -clearDebug
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXDDCATS] rundll32
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtim
e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [dlkojfqey] c:\windows\system32\dlkojfqey.exe dlkojfqey
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/do[...]s/yinst20040510.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O17 -
HKLM\System\CS1\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
--
End of file - 8931 bytes
Jai dut réasinaliser mon PC moi 
Good luck !
(Dsl je peut pas t'aider sur sa) !
Salut,
Tu n'as pas que le ver MSN.
- Télécharge MSNFix.zip (de !aur3n7) sur le Bureau:
http://sosvirus.changelog.fr/MSNFix.zip
- Décompresse-le (clic droit >> Extraire ici).
- Redémarre en mode sans échec :
http://forum.telecharger.01net.com/telecharger/virus_et_assimiles/failles_de_securite/redemarrer_en_mode_sans_echec_pourquoi_et_comment-387297/messages-1.html
- Double-clique sur le fichier MSNFix.bat.
- Exécute l'option R.
- Si l'infection est détectée, un message l'indiquera et il suffira de presser une touche pour lancer le nettoyage
- Note : Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
- Le rapport sera enregistré dans le même dossier que MSNFix sous forme date_heure.t, poste-le.
Il a aussi Magic.Conrol ...
Pour info, ce genre de fichier :
F2 - REG:system.ini:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM
E~1\mimi\LOCALS~1\Temp\services.exe
J'ai eu vachement de mal à les supprimer. Autant parfois ça passe (1 fois ...) autant les autres >< !
Tout y est passé, MSNFix, SDFix, script Combofix pour fichier et clé de registre, script The Avenger pour fichier et clé ! Enfin de compte je m'en suis sorti avec un catchme ...
MSNFix 1.677
C:\Documents and Settings\mimi\Bureau\MSNFix
Fix exécuté le 11/03/2008 - 20:41:05,67 By mimi
mode sans échec
- ********************* Recherche les fichiers présents
... C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe
... C:\WINDOWS\system32\real.txt
- ********************* Recherche les dossiers présents
Aucun dossier trouvé
- ********************* Suppression des fichiers
/!\ ... C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe
.. OK ... C:\WINDOWS\system32\real.txt
- ********************* Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
- ********************* Suppression des fichiers
/!\ ... C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe
- ********************* Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 11032008_20444846.zip
--------------------------------------------------
----------------------
Auteur : !aur3n7 Contact: http://changelog.fr
--------------------------------------------------
----------------------
--------------------------------------------- END -----------------
- Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le bureau :
http://perso.orange.fr/ill.mafioso/Navifix/Navilog1.exe
- Double-clique sur Navilog1.exe afin de lancer l'installation
- Si le fix ne lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le bureau
- Appuie sur F ou f puis valide par Entrée
- Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options
- Choisis l'option 1 et appuie sur la touche Entrée pour valider ton choix.
- Patiente jusqu'au message : *** Analyse Termine le ..... ***
- Le scan fini, le bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse
- Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt
N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.
Search Navipromo version 3.5.0 commencé le 11/03/2008 à 20:53:36,92
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
- Recherche Programmes installés ***
- Recherche dossiers dans C:\WINDOWS ***
- Recherche dossiers dans C:\Program Files ***
- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\applic~1" ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\locals~1\applic~1" ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\menudm~1\progra~1" ***
- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
- Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Fichier(s) caché(s) :
C:\WINDOWS\system32\dlkojfqey.dat
C:\WINDOWS\system32\dlkojfqey.exe
C:\WINDOWS\system32\dlkojfqey_nav.dat
C:\WINDOWS\system32\dlkojfqey_navps.dat
- Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
- Recherche dans C:\WINDOWS\system32 *
- Recherche dans "C:\Documents and Settings\mimi\locals~1\applic~1" *
- Recherche fichiers ***
C:\WINDOWS\pack.epk trouvé !
- Recherche clés spécifiques dans le Registre ***
HKEY_CURRENT_USER\Software\Lanconfig trouvé !
- Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
- Dans C:\WINDOWS\system32 :
dlkojfqey.dat trouvé !
xqbolsdc_navtmp.dat trouvé !
- Dans "C:\Documents and Settings\mimi\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup trouvé !
Certificat Electronic-Group trouvé !
Certificat OOO-Favorit trouvé !
4)Recherche fichiers connus :
C:\WINDOWS\system32\xyadd.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
- Analyse terminée le 11/03/2008 à 20:57:58,90 ***
Relance Navilog1 et fais l'option 2.
Reposte un rapport HijackThis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:31, on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\V0230Mon.exe
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Lexmark 2500 Series\lxddmon.exe
C:\Program Files\Lexmark 2500 Series\lxddamon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUM
E~1\mimi\LOCALS~1\Temp\services.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared
Files\Programs\MediaCenterService\PMC.Service.Main
.exe" -host -clearDebug
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXDDCATS] rundll32
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtim
e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O17 -
HKLM\System\CS1\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
--
End of file - 9927 bytes
- Télécharge VundoFix (by Atribune) sur ton bureau :
http://www.atribune.org/ccount/click.php?id=4
- Clique sur "VundoFix.exe" puis sur "Scan for Vundo"
- Lorsque le scan est terminé, clique sur "Remove Vundo". On te demandera si tu veux supprimer les fichiers, clique sur "Yes" (si le bureau disparaît c’est normal) puis on te demandera si tu veux redémarrer ton PC, clique alors sur OK.
- Copie/colle le rapport ici (situé ici : "C:\vundofix.txt") ainsi qu´un nouveau log HijackThis.
Ben j'ai eu un petit souci... Après le scan, Vundo ne me propose pas de cliquer sur 'Remove Vundo"...
Qu'est-ce que je peux faire ?
Ça veut dire que VundoFix n'a rien trouvé.
L'infection MSN persiste, fais ceci :
- Télécharge SDFix (par Andy Manchesta) et sauvegarde-le sur ton bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
- Double-clique sur SDFix.exe et choisis Install pour l'extraire dans son dossier sur le bureau.
- Redémarre le PC en mode sans échec en appuyant sur F8 au démarrage du BIOS.
- Choisis ton compte.
Déroule la liste des instructions ci-dessous :
- Ouvre le dossier SDFix qui vient d'être créé sur le bureau et double-clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le nettoyage.
- Quand il te le demandera, appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long à redémarrer car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du bureau, l'outil aura terminé et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton bureau.
- Le rapport SDFix s'ouvrira et il sera enregistré dans le dossier SDFix sous le nom Report.txt.
- Enfin, copie/colle le rapport du fichier Report.txt.
PS: Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.
- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésite donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.
[b]SDFix: Version 1.155 [/b]
Run by mimi on 12/03/2008 at 13:35
Microsoft Windows XP [version 5.1.2600]
Running From: C:\DOCUME~1\mimi\Bureau\SDFix
[b]Checking Services [/b]:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\DOCUME~1\mimi\LOCALS~1\Temp\services.exe - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-12 13:40:38
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 185
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\servi
ces\sharedaccess\parameters\firewallpolicy\standar
dprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program
Files\\Pinnacle\\MediaCenter\\PMC.exe"="C:\\Progra
m
Files\\Pinnacle\\MediaCenter\\PMC.exe:LocalSubNet:
Enabled:Pmc.exe"
"C:\\Program
Files\\Pinnacle\\MediaCenter\\PSST.exe"="C:\\Progr
am
Files\\Pinnacle\\MediaCenter\\PSST.exe:LocalSubNet
:enabled:PSST.exe"
"C:\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaManager\\PMSManager.exe"="C:
\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaManager\\PMSManager.exe:Loca
lSubNet:Enabled:PMSManager.exe"
"C:\\Program
Files\\Pinnacle\\MediaCenter\\PMSInstallInit.exe"=
"C:\\Program
Files\\Pinnacle\\MediaCenter\\PMSInstallInit.exe:L
ocalSubNet:Enabled:PMSInstallInit.exe"
"C:\\Program
Files\\Pinnacle\\MediaCenter\\PMC.Tvtv.Wizard.exe"
="C:\\Program
Files\\Pinnacle\\MediaCenter\\PMC.Tvtv.Wizard.exe:
LocalSubNet:Enabled:PMC.Tvtv.Wizard.exe"
"C:\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaServer\\PMSInstallInit.exe"=
"C:\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaServer\\PMSInstallInit.exe:L
ocalSubNet:Enabled:PMSInstallInit.exe"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\BitComet\\BitComet.exe"="C:\\Program Files\\BitComet\\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\\Program Files\\Ahead\\Nero ShowTime\\ShowTime.exe"="C:\\Program Files\\Ahead\\Nero ShowTime\\ShowTime.exe:*:Enabled:Nero ShowTime"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Grisoft\\AVG7\\avginet.exe"="C:\\Program
Files\\Grisoft\\AVG7\\avginet.exe:*:Enabled:avgine
t.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgamsvr.exe"="C:\\Program
Files\\Grisoft\\AVG7\\avgamsvr.exe:*:Enabled:avgam
svr.exe"
"C:\\Program Files\\Grisoft\\AVG7\\avgcc.exe"="C:\\Program
Files\\Grisoft\\AVG7\\avgcc.exe:*:Enabled:avgcc.ex
e"
"C:\\Program Files\\Grisoft\\AVG7\\avgemc.exe"="C:\\Program
Files\\Grisoft\\AVG7\\avgemc.exe:*:Enabled:avgemc.
exe"
"C:\\Program Files\\SightSpeed\\SightSpeed.exe"="C:\\Program
Files\\SightSpeed\\SightSpeed.exe:*:Enabled:SightS
peed"
"C:\\WINDOWS\\system32\\lxddcoms.exe"="C:\\WINDOWS
\\system32\\lxddcoms.exe:*:Enabled:Lexmark Communications System"
"C:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe"="C:\\Program Files\\Lexmark 2500 Series\\lxddamon.exe:*:Enabled:Lexmark Device Monitor"
"C:\\Program Files\\Lexmark 2500 Series\\App4R.exe"="C:\\Program Files\\Lexmark 2500 Series\\App4R.exe:*:Enabled:Lexmark Imaging Studio"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program
Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Program Files\\Microsoft Office\\Office\\WINWORD.EXE"="C:\\Program Files\\Microsoft Office\\Office\\WINWORD.EXE:*:Disabled:Microsoft Word for Windows"
"C:\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaCenterService\\PMC.Service.M
ain.exe"="C:\\Program Files\\Pinnacle\\Shared
Files\\Programs\\MediaCenterService\\PMC.Service.M
ain.exe:LocalSubNet:Disabled:PMCService"
"C:\\Documents and Settings\\mimi\\Bureau\\emule.exe"="C:\\Documents and
Settings\\mimi\\Bureau\\emule.exe:*:Enabled:eMule"
"C:\\DOCUME~1\\mimi\\LOCALS~1\\Temp\\services.exe"
="C:\\DOCUME~1\\mimi\\LOCALS~1\\Temp\\services.exe
:*:Enabled:Flash Media"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\servi
ces\sharedaccess\parameters\firewallpolicy\domainp
rofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste
m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\Lexmark 2500 Series\\app4r.exe"="C:\\Program Files\\Lexmark 2500 Series\\App4R.exe:*:Enabled:BorgListener"
[b]Remaining Files [/b]:
File Backups: -
C:\DOCUME~1\mimi\Bureau\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Fri 28 Apr 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 16 Mar 2007 59,904 ...H. --- "C:\Documents and Settings\mimi\Mes documents\~WRL0425.tmp"
Fri 16 Mar 2007 64,512 ...H. --- "C:\Documents and Settings\mimi\Mes documents\~WRL3081.tmp"
Fri 16 Mar 2007 60,928 ...H. --- "C:\Documents and Settings\mimi\Mes documents\~WRL4046.tmp"
Sat 6 Jan 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 24 Jan 2008 0 A..H. ---
"C:\WINDOWS\SoftwareDistribution\Download\f7db876e
78b88fd8276fd7d29cb7e4eb\BIT11.tmp"
Sun 4 Mar 2007 22,016 ...H. --- "C:\Documents and Settings\mimi\Application Data\Microsoft\Word\~WRL0344.tmp"
Sun 2 Mar 2008 588,288 ...H. --- "C:\Documents and Settings\mimi\Application Data\Microsoft\Word\~WRL0404.tmp"
Sun 2 Mar 2008 623,616 ...H. --- "C:\Documents and Settings\mimi\Application Data\Microsoft\Word\~WRL0660.tmp"
Fri 16 Mar 2007 62,464 ...H. --- "C:\Documents and Settings\mimi\Application Data\Microsoft\Word\~WRL2524.tmp"
Sun 4 Mar 2007 25,088 ...H. --- "C:\Documents and Settings\mimi\Application Data\Microsoft\Word\~WRL3408.tmp"
Sun 2 Mar 2008 587,264 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0015.tmp"
Sun 2 Mar 2008 606,720 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0084.tmp"
Sun 2 Mar 2008 607,232 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0216.tmp"
Sun 2 Mar 2008 625,152 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0370.tmp"
Sun 2 Mar 2008 586,752 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0488.tmp"
Sun 2 Mar 2008 580,608 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0537.tmp"
Sun 2 Mar 2008 607,232 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0652.tmp"
Sun 2 Mar 2008 607,744 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0654.tmp"
Sun 2 Mar 2008 585,728 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0729.tmp"
Sun 2 Mar 2008 582,144 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL0775.tmp"
Sun 2 Mar 2008 580,096 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1035.tmp"
Sat 8 Mar 2008 312,964,096 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1245.tmp"
Sun 2 Mar 2008 584,704 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1293.tmp"
Sun 2 Mar 2008 584,192 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1321.tmp"
Sun 2 Mar 2008 578,560 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1357.tmp"
Sun 2 Mar 2008 587,776 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1368.tmp"
Sun 2 Mar 2008 584,192 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1426.tmp"
Sun 2 Mar 2008 586,752 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1467.tmp"
Sun 2 Mar 2008 582,144 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1580.tmp"
Sun 2 Mar 2008 585,216 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1677.tmp"
Sun 2 Mar 2008 607,744 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1715.tmp"
Sun 2 Mar 2008 607,232 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1768.tmp"
Sun 2 Mar 2008 579,072 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1781.tmp"
Sun 2 Mar 2008 609,280 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL1979.tmp"
Sun 2 Mar 2008 586,752 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2123.tmp"
Sun 2 Mar 2008 587,776 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2129.tmp"
Sun 2 Mar 2008 580,608 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2136.tmp"
Sun 2 Mar 2008 579,072 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2238.tmp"
Sun 2 Mar 2008 585,216 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2300.tmp"
Sun 2 Mar 2008 220,134,400 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2306.tmp"
Sun 2 Mar 2008 587,264 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2326.tmp"
Sun 2 Mar 2008 603,136 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2511.tmp"
Sun 2 Mar 2008 580,096 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2540.tmp"
Sun 2 Mar 2008 579,584 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2567.tmp"
Sun 2 Mar 2008 606,208 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2846.tmp"
Sun 2 Mar 2008 580,608 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2921.tmp"
Sun 2 Mar 2008 605,696 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL2969.tmp"
Sun 2 Mar 2008 581,632 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3004.tmp"
Sun 2 Mar 2008 604,160 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3175.tmp"
Sun 2 Mar 2008 581,632 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3326.tmp"
Sun 2 Mar 2008 580,096 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3347.tmp"
Sun 2 Mar 2008 587,264 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3405.tmp"
Sun 2 Mar 2008 127,973,888 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3408.tmp"
Sun 2 Mar 2008 580,608 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3468.tmp"
Sun 2 Mar 2008 583,680 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3780.tmp"
Sun 2 Mar 2008 584,704 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3870.tmp"
Sun 2 Mar 2008 578,048 ...H. --- "C:\Documents and Settings\mimi\Mes documents\Titularisation\Projet enseignement\~WRL3974.tmp"
[b]Finished![/b]
Refais un rapport HijackThis.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:18:45, on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxddcoms.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\V0230Mon.exe
C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Lexmark 2500 Series\lxddmon.exe
C:\Program Files\Lexmark 2500 Series\lxddamon.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.fr/spbasic.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [fenaffiche] C:\Program Files\FenAffiche\FenUnika.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCS] "C:\Program Files\Pinnacle\Shared
Files\Programs\MediaCenterService\PMC.Service.Main
.exe" -host -clearDebug
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [V0230Mon.exe] C:\WINDOWS\V0230Mon.exe
O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [lxddmon.exe] "C:\Program Files\Lexmark 2500 Series\lxddmon.exe"
O4 - HKLM\..\Run: [lxddamon] "C:\Program Files\Lexmark 2500 Series\lxddamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [LXDDCATS] rundll32
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXDDtim
e.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Program Files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1036\OLFSNT40.EXE
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O17 -
HKLM\System\CS1\Services\Tcpip\..\{91302932-696A-4
929-ABE8-5CD43452EEBD}: NameServer = 212.27.53.252,212.27.54.252
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: lxdd_device - - C:\WINDOWS\system32\lxddcoms.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
--
End of file - 9817 bytes
J'ai l'impression que l'infection MSN est partie.
Peux-tu me faire un rapport Navilog1 avec l'option 1 ?
Pas la peine, elle est partie.
Search Navipromo version 3.5.0 commencé le 12/03/2008 à 19:42:38,42
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 04.03.2008 à 17h00 par IL-MAFIOSO
Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2900.2180
Système de fichiers : NTFS
Executé en mode normal
- Recherche Programmes installés ***
- Recherche dossiers dans C:\WINDOWS ***
- Recherche dossiers dans C:\Program Files ***
- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\APPLIC~1 ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\applic~1" ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\locals~1\applic~1" ***
- Recherche dossiers dans "C:\Documents and Settings\mimi\menudm~1\progra~1" ***
- Recherche dossiers dans C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1 ***
- Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net
Aucun Fichier trouvé
- Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!
- Recherche dans C:\WINDOWS\system32 *
- Recherche dans "C:\Documents and Settings\mimi\locals~1\applic~1" *
- Recherche fichiers ***
- Recherche clés spécifiques dans le Registre ***
- Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)
1)Recherche nouveaux fichiers Instant Access :
2)Recherche Heuristique :
- Dans C:\WINDOWS\system32 :
- Dans "C:\Documents and Settings\mimi\locals~1\applic~1" :
3)Recherche Certificats :
Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
4)Recherche fichiers connus :
C:\WINDOWS\system32\xyadd.bak2 trouvé ! infection Vundo possible non traitée par cet outil !
- Analyse terminée le 12/03/2008 à 19:46:45,89 ***
Vundo est toujours là. A mon avis, VundoFix n'avait pas vu l'infection car tu étais en mode normal.
Relance VundoFix mais en mode sans échec.
- Aide à l'achat Mac
- Création de Jeux
- Linux
- Création de sites web
- Programmation
- Internet
- Steam Deck
- Macintosh
- Hardware