Infecté par Trojan-Downloader:W32/Agent.IFD, demande de l'aide

Réseaux & telecom Internet
1

Bonjour tout le monde,
Je sais que je dois être la énième personne à vous demander le même service, mais j’ai vraiment besoin d’aide ! Merci d’avance :wink:

Je suis depuis peu infecté par le virus Trojan-Downloader:W32/Agent.IFD et une page s’ouvre me proposant un antivirus fake ( * Lien modéré * )… Securitoo n’arrive pas à s’en débarasser. J’ai essayé la supression du virus, du fichier infecté, la mise en quarantaine… Rien ne marche. Si quelqu’un aurait une solution radicale pour l’anéantir, je suis preneur :slight_smile:
Message edité le 16/12/2008 à 19:26

2

J’ai effacé le lien pour éviter que des têtes en l’air n’aille jetter un coup d’oeil se fassent contaminer ou autre :wink:

4

Merci d’avoir répondu aussi vite ! Ca fait plaisir de se sentir soutenu :wink:
Voila le résultat du scan :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:50, on 16/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsus.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO Barre de Confiance - {988B07F5-7392-455A-8A1F-64935CB8B6ED} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O2 - BHO: (no name) - {bf73ef78-d605-44c8-829b-c0b2661b64b1} - C:\WINDOWS\system32\lopivasa.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre de confiance - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O4 - HKLM…\Run: [F-Secure Manager] “C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE” /splash
O4 - HKLM…\Run: [F-Secure TNB] “C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe” /CHECKALL /WAITFORSW
O4 - HKLM…\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM…\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [sudasegeka] Rundll32.exe “C:\WINDOWS\system32\ranuvozo.dll”,s
O4 - HKLM…\Run: [fc254b96] rundll32.exe “C:\WINDOWS\system32\miregoke.dll”,b
O4 - HKLM…\Run: [CPMff16780a] Rundll32.exe “c:\windows\system32\tibarozo.dll”,a
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [sudasegeka] Rundll32.exe “C:\WINDOWS\system32\ranuvozo.dll”,s (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - D:\OFFICE\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d’impressions - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O16 - DPF: {5AEF5128-FE70-49E8-9E86-45F0A2D7E4EE} (OpendiscLight Control) - go.opendisc.net…
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - download.divx.com…
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - fichiers.touslesdrivers.com…
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - sdlc-esd.sun.com…
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O20 - AppInit_DLLs: C:\WINDOWS\system32\vomuganu.dll c:\windows\system32\tibarozo.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\tibarozo.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\tibarozo.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe


End of file - 9268 bytes

6

Voila le rapport MalwareByte’s Anti-Malware :

Malwarebytes’ Anti-Malware 1.31
Version de la base de données: 1507
Windows 5.1.2600 Service Pack 3

16/12/2008 20:51:01
mbam-log-2008-12-16 (20-51-01).txt

Type de recherche: Examen complet (C:|D:|E:|)
Eléments examinés: 144787
Temps écoulé: 51 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 5
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\vomuganu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\miregoke.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\tibarozo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ranuvozo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lopivasa.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{bf73ef78-d605-44c8-829b-c0b2661b64b1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID{bf73ef78-d605-44c8-829b-c0b2661b64b1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{bf73ef78-d605-44c8-829b-c0b2661b64b1} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\fc254b96 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sudasegeka (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpmff16780a (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ssodl (Trojan.Vundo.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vomuganu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vomuganu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\vomuganu.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\tibarozo.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\tibarozo.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\miregoke.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ekogerim.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ranuvozo.dll (Trojan.Vundo.H) -> Delete on reboot.
c:\WINDOWS\system32\tibarozo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lopivasa.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vomuganu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Documents and Settings\Florian\Local Settings\Temporary Internet Files\Content.IE5\E7QQ2017\style[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\kabumure.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32~.exe (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Q23Jc8P5.exe.a_a (Trojan.Agent) -> Quarantined and deleted successfully.

7

Re,

Redémarre normalement ton pc et refait un hijackthis.

merci

8

Voila voila :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:33, on 16/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe
C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsqh.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
C:\Program Files\Securitoo\av_fw\FSAUA\program\fsus.exe
C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE
C:\Program Files\Securitoo\av_fw\FSGUI\fsguidll.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO Barre de Confiance - {988B07F5-7392-455A-8A1F-64935CB8B6ED} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Barre de confiance - {55BDF3B0-C0A8-481A-B8A6-01CD2BE0F3FD} - C:\Program Files\BarreConfCMCIC\TAPBar.dll
O4 - HKLM…\Run: [F-Secure Manager] “C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE” /splash
O4 - HKLM…\Run: [F-Secure TNB] “C:\Program Files\Securitoo\av_fw\FSGUI\TNBUtil.exe” /CHECKALL /WAITFORSW
O4 - HKLM…\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM…\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-19…\Run: [sudasegeka] Rundll32.exe “C:\WINDOWS\system32\ranuvozo.dll”,s (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - D:\OFFICE\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d’impressions - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - C:\Program… Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - www.orange.fr… (file missing) (HKCU)
O16 - DPF: {5AEF5128-FE70-49E8-9E86-45F0A2D7E4EE} (OpendiscLight Control) - go.opendisc.net…
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - download.divx.com…
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - fichiers.touslesdrivers.com…
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - sdlc-esd.sun.com…
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - messenger.zone.msn.com…
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - messenger.zone.msn.com…
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe


End of file - 8496 bytes

9

Re,

Il en reste.

COMBOFIX

Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts…

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

Fais un clic droit sur ce lien et choisis “enregistrer la cible sous …” : dans la fenêtre qui s’ouvre tape C-Fix, choisis le bureau comme destination et valide :

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis…)

—> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre…

Tuto ici : TUTO

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n’utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l’ordi —> si un message d’erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer[/color]

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

10

J’ai juste une question, est-ce que installer la Console de récupération de Windows est obligatoire ? Et je galère aussi à arrêter Securitoo… Mais je vais bien trouver :wink:
Edité le 16/12/2008 à 21:24

11

Re,

Pour la cosole de récup je te conseil de le faire en cas de bléme.

Pour ton antivirus tu le désinstalle au pier et tu le reinstalle avant de te reconnecter sur la toile.

@+

12

C’est bon, j’ai réussi à tout désactiver :slight_smile:

Par contre jai voulu lancer ComboFix, mais après avoir fait " Executer " y’a mon Bios qu’a fait un bip hyper aigu et j’ai reçu ce message : " Windows ne trouve pas ‘32788R22FWWW’\niromd.com’. Vérifiez que vous avez entré le nom correctement et essayez à nouveau. Pour rechercher un fichier, cliquer sur le bouton Démarrer, puis sur Rechercher. " :s J’ai donc tout arrêté pour l’instant… Je précise que le code du message n’est pas exact, ce n’est pas 3 W à la suite, mais j’ai pris mon écran en photo avec mon portable, donc mauvaise qualité oblige :s

13

Re,

Lit bien le tutoriel:

www.bleepingcomputer.com…

14

Je l’ai relu plusieurs fois, ça ne m’a pas aidé à trouver d’ou vient ce message d’erreur =(

15

Re,

Désinstalle combofix et passe combofix avec ce lien la:

clic ici

Ne dit pas sur le form pour le lien oki :hello:

Ensuite

Voir profilContacter le membre
goldorak59
Aujourd’hui 21h 08mn 55s

Re,

Il en reste.

COMBOFIX

Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts…

Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

Fais un clic droit sur ce lien et choisis “enregistrer la cible sous …” : dans la fenêtre qui s’ouvre tape C-Fix, choisis le bureau comme destination et valide :

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation (si jamais tu en as et que je ne les ai pas vu sur le rapport hijackthis…)
Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n’utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l’ordi —> si un message d’erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer[/color]

16

Euh… C’est quoi ?

17

Re,

Desinstalle le premier combofix de ton pc et fait le nouveau lien ou marquer =>“clic ici”.

@+

18

Ce ComboFix là marchera mieux ? :etonne2:
Et, ça dérange pas si on continue demain, je suis à bout de force là ^^

19

Re,

OKI.

prend ton temps sa urge pas il reste un truc et c bon pour toi.

@+

20

Merci beaucoup :slight_smile:
A demain.

21

Bonjour, voila le rapport ComboFix :

ComboFix 08-12-15.08 - Florian 2008-12-17 14:26:02.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.1.1036.18.2047.1559 [GMT 1:00]
Lancé depuis: c:\documents and settings\Florian\Bureau\flobo.exe

  • Un nouveau point de restauration a été créé
    .

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\bold.log
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\rigitaza.dll
c:\windows\system32\umabufav.ini

----- BITS: Il y a peut-être des sites infectés -----

77.74.48.105…
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-17 au 2008-12-17 ))))))))))))))))))))))))))))))))))))
.

2008-12-16 20:27 . 2008-12-16 20:27 dr------- c:\documents and settings\NetworkService\Favoris
2008-12-16 19:57 . 2008-12-16 19:57 d-------- c:\documents and settings\Florian\Application Data\Malwarebytes
2008-12-16 19:57 . 2008-12-16 19:57 d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-16 19:57 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 19:57 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-14 15:24 . 2008-12-14 15:23 31,744 --a------ c:\windows\system32\Q23Jc8P5.exe
2008-12-13 12:53 . 2008-12-13 12:53 1,700,352 --a------ c:\windows\system32\gdiplus.dll
2008-12-06 21:25 . 2008-12-06 21:25 d-------- c:\documents and settings\All Users\Application Data\nView_Profiles
2008-12-06 21:21 . 2008-12-06 21:21 d-------- c:\windows\nview
2008-12-06 21:21 . 2008-12-02 10:13 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2008-12-06 21:21 . 2008-12-02 23:11 453,152 --a------ c:\windows\system32\nvudisp.exe
2008-12-06 21:21 . 2008-12-17 13:16 205,242 --a------ c:\windows\system32\nvapps.xml
2008-12-06 21:21 . 2008-12-02 23:11 18,696 --a------ c:\windows\system32\nvdisp.nvu
2008-12-05 18:09 . 2008-12-05 18:09 212 --a------ c:\windows\system32\spupdsvc.inf
2008-12-05 18:07 . 2008-12-05 18:14 d-------- c:\windows\SxsCaPendDel
2008-12-03 15:11 . 2008-12-02 23:11 6,209,536 --a------ c:\windows\system32\drivers\nv4_mini.sys
2008-12-03 15:11 . 2008-12-02 23:11 6,166,272 --a------ c:\windows\system32\nv4_disp.dll
2008-12-03 14:44 . 2008-12-03 14:45 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-12-03 13:22 . 2008-12-03 13:22 dr-h----- c:\documents and settings\Florian\Application Data\SecuROM
2008-12-03 13:17 . 2008-12-03 13:17 d-------- c:\windows\system32\xlive
2008-12-03 13:17 . 2008-12-03 13:30 d-------- c:\program files\Microsoft Games for Windows - LIVE
2008-12-03 12:31 . 2008-12-03 12:31 d-------- c:\program files\MSBuild
2008-12-03 12:30 . 2008-12-05 18:12 d-------- c:\windows\system32\XPSViewer
2008-12-03 12:30 . 2008-12-03 12:30 d-------- c:\program files\Reference Assemblies
2008-12-03 12:29 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-17 10:39 --------- d-----w c:\program files\Wanadoo
2008-12-16 15:32 93,782 --sha-w c:\windows\system32\lanadata.dll
2008-12-14 14:47 --------- d-----w c:\documents and settings\Florian\Application Data\LimeWire
2008-12-03 13:09 --------- d–h--w c:\program files\InstallShield Installation Information
2008-11-12 17:36 --------- d-----w c:\documents and settings\Florian\Application Data\Canon
2008-10-28 16:41 14,303,392 ----a-w c:\windows\system32\xlive.dll
2008-10-28 16:41 13,643,936 ----a-w c:\windows\system32\xlivefnt.dll
2008-10-27 09:04 70,992 ----a-w c:\windows\system32\XAPOFX1_2.dll
2008-10-27 09:04 514,384 ----a-w c:\windows\system32\XAudio2_3.dll
2008-10-27 09:04 235,856 ----a-w c:\windows\system32\xactengine3_3.dll
2008-10-27 09:04 23,376 ----a-w c:\windows\system32\X3DAudio1_5.dll
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-10 03:52 452,440 ----a-w c:\windows\system32\d3dx10_40.dll
2008-10-10 03:52 4,379,984 ----a-w c:\windows\system32\D3DX9_40.dll
2008-10-10 03:52 2,036,576 ----a-w c:\windows\system32\D3DCompiler_40.dll
2008-10-03 10:03 247,326 ----a-w c:\windows\system32\strmdll.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-07-31 10:25 22,328 ----a-w c:\documents and settings\Florian\Application Data\PnkBstrK.sys
2008-01-11 22:06 1,602 ----a-w c:\documents and settings\Florian\Application Data\filterclsid.dat
2006-05-03 09:06 163,328 --sh–r c:\windows\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh–r c:\windows\system32\msfDX.dll
2008-09-16 14:32 61,440 --sha-w c:\windows\system32\wuyojogi.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
Note les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]
“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“F-Secure Manager”=“c:\program files\Securitoo\av_fw\Common\FSM32.EXE” [2007-06-13 176177]
“F-Secure TNB”=“c:\program files\Securitoo\av_fw\FSGUI\TNBUtil.exe” [2007-06-13 733184]
“JMB36X IDE Setup”=“c:\windows\RaidTool\xInsIDE.exe” [2007-03-20 36864]
“36X Raid Configurer”=“c:\windows\system32\xRaidSetup.exe” [2007-11-19 1970176]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-12-02 13680640]
“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-12-02 86016]
“nwiz”=“nwiz.exe” [2008-12-02 c:\windows\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“vidc.I420”= i420vfw.dll

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d’Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d’Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d’Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
–a------ 2006-11-12 11:48 157592 d:\daemon tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE2]
–a------ 2003-05-08 10:00 49152 d:\omnipage\opwareSE2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]
--------- 2004-08-23 14:49 20480 c:\progra~1\Wanadoo\Watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
-r------- 2005-05-03 11:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
-r------- 2006-07-21 09:56 16261632 c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“UpdatesDisableNotify”=dword:00000001
“AntiVirusOverride”=dword:00000001
“FirewallOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“c:\WINDOWS\system32\PnkBstrA.exe”=
“c:\WINDOWS\system32\PnkBstrB.exe”=
“c:\Program Files\Bonjour\mDNSResponder.exe”=
“d:\CoH opposing fronts\RelicCOH.exe”=
“c:\WINDOWS\system32\muzapp.exe”=
“d:\Crysis\Bin32\Crysis.exe”=
“d:\Crysis\Bin32\CrysisDedicatedServer.exe”=
“c:\Program Files\Windows Live\Messenger\msnmsgr.exe”=
“c:\Program Files\Windows Live\Messenger\livecall.exe”=
“d:\PES 2009\pes2009.exe”=
“d:\GTA IV\Rockstar Games Social Club\RGSCLauncher.exe”=
“d:\GTA IV\GTA IV\Grand Theft Auto IV\LaunchGTAIV.exe”=

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-01-03 51072]
R1 F-Secure HIPS;F-Secure HIPS;??\c:\program files\Securitoo\av_fw\HIPS\fshs.sys [2008-01-03 41184]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;??\c:\program files\Securitoo\av_fw\Anti-Virus\minifilter\fsgk.sys [2008-01-03 52736]
S3 DigiCellDriver;DigiCellDriver;??\c:\program files\MSI\DigiCell\NTGLM7X.sys []
S3 RushTopDevice2;RushTopDevice2;??\c:\program files\MSI\DualCoreCenter\RushTop.sys []
S4 F-Secure Filter;F-Secure File System Filter;??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSfilter.sys [2008-01-03 33024]
S4 F-Secure Recognizer;F-Secure File System Recognizer;??\c:\program files\Securitoo\av_fw\Anti-Virus\Win2K\FSrec.sys [2008-01-03 18432]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{43b964d2-8ff3-11dd-9ab8-0019db4ab03e}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL NoLimit.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{5a131ac2-41c0-11dc-bd7d-806d6172696f}]
\Shell\AutoRun\command - F:\Livebox.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b2342196-5146-11dc-ba8e-806d6172696f}]
\Shell\AutoRun\command - F:\FarCryAutoCD.exe

Newly Created Service - CATCHME
Newly Created Service - PROCEXP90
.
Contenu du dossier ‘Tâches planifiées’

2008-12-14 c:\windows\Tasks\At1.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At10.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At11.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At12.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-17 c:\windows\Tasks\At13.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-17 c:\windows\Tasks\At14.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-17 c:\windows\Tasks\At15.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At16.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At17.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At18.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At19.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At2.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-15 c:\windows\Tasks\At20.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At21.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At22.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-16 c:\windows\Tasks\At23.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At24.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At3.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At4.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At5.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At6.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At7.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At8.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]

2008-12-14 c:\windows\Tasks\At9.job

  • c:\windows\system32\Q23Jc8P5.exe [2008-12-14 15:23]
    .
        • ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-SMSTray - d:\samsung media studio 5\SMSTray.exe

.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = www.google.com…
uStart Page = www.google.fr…
uSearchURL,(Default) = www.google.com…
IE: E&xporter vers Microsoft Excel - d:\office\OFFICE11\EXCEL.EXE/3000
IE: Easy-WebPrint Ajouter à la liste d’impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O16 -: {5AEF5128-FE70-49E8-9E86-45F0A2D7E4EE} - go.opendisc.net…
c:\windows\Downloaded Program Files\OpendiscLight.inf

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - fichiers.touslesdrivers.com…
c:\windows\Downloaded Program Files\hardwaredetection.inf
.

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, www.gmer.net…
Rootkit scan 2008-12-17 14:26:51
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés …

Recherche d’éléments en démarrage automatique cachés …

Recherche de fichiers cachés …

Scan terminé avec succès
Fichiers cachés: 0

.
--------------------- DLLs chargées dans les processus actifs ---------------------

              • ‘winlogon.exe’(804)
                c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

              • ‘lsass.exe’(860)
                c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll

              • ‘csrss.exe’(776)
                c:\program files\Securitoo\av_fw\FWES\Program\fsdc.dll
                .
                Heure de fin: 2008-12-17 14:27:29
                ComboFix-quarantined-files.txt 2008-12-17 13:27:15

Avant-CF: 4 124 921 856 octets libres
Après-CF: 4,313,702,400 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professionnel” /noexecute=optin /fastdetect

250 — E O F — 2008-12-12 16:44:54

22

Re,

  1. Fermez tous les navigateurs ouverts.

  2. Fermez/désactivez tous les programmes anti-virus, anti-malware ou anti-spyware afin qu’ils n’interfèrent pas avec le travail de ComboFix.

  3. Ouvrez le Bloc-notes et faites un copier/coller du texte en gras situé dans la boîte Citation ci-dessous dans le Bloc-notes:


File::
c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr0.dat
c:\documents and settings\all users\application data\microsoft\network\downloader\qmgr1.dat

Enregistrez le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

img.photobucket.com…

Comme sur l’image ci-dessus, faites glisser CFScript puis déposez-le sur ComboFix.exe

Lorsque l’outil aura terminé, il vous affichera un rapport nommé C:\ComboFix.txt que vous devez m’envoyer dans votre prochain message.