Virus qui fait planter/supprimer antivirus - Virus/Spywares - Windows & Software
Marsh Posté le 29-12-2009 à 11:17:40
Bonjour ^^
Si tu gardes toujours le fichier avec le rapport HijackThis, tu peux me le faire parvenir pour analyse en l'hébergeant ailleurs, comme sur Cijoint ou sur Toofiles par exemple.
Tu vas devoir aussi faire un scan avec un outil spécialisé (FindyKill) :
Marsh Posté le 29-12-2009 à 21:48:38
Re Bonjour ^^
Je mets directement les 2 rapports ici :
HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:55, on 29/12/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18865)
Boot mode: Normal
Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\findstr.exe
C:\Windows\system32\findstr.exe
C:\Windows\system32\findstr.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Downloads\hijackthis-2.0.2.75917.exe
C:\Users\Naudrey\AppData\Local\Temp\hijackthis-2.0.2.75917.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr? [...] on&pf=cnnb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.facebook.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr? [...] on&pf=cnnb
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr? [...] on&pf=cnnb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O3 - Toolbar: Veoh Web Player Video Finder - {0FBB9689-D3D7-4f7a-A2E2-585B10099BFC} - C:\Program Files\Veoh Networks\VeohWebPlayer\VeohIEToolbar.dll
O3 - Toolbar: Veoh Video Compass - {52836EB0-631A-47B1-94A6-61F9D9112DAE} - C:\Program Files\Veoh Networks\Veoh Video Compass\SearchRecsPlugin.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [OnScreenDisplay] C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O13 - Gopher Prefix:
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] oader5.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.co [...] hcImpl.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.ya [...] urrent.cab
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmana [...] .2.4.1.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/re [...] dfr-fr.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-F [...] E_UNO1.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/re [...] oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/control [...] ader55.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/bina [...] b56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/bina [...] b56986.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Com4QLBEx - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Corporation - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxct_device - - C:\Windows\system32\lxctcoms.exe
O23 - Service: QuickPlay Background Capture Service (QBCS) (QPCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
O23 - Service: QuickPlay Task Scheduler (QTS) (QPSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
O23 - Service: Recovery Service for Windows - Unknown owner - C:\Windows\SMINST\BLService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe
--
End of file - 13693 bytes
FindyKill :
############################## | FindyKill V5.022 |
# User : Naudrey (Administrateurs) # PC-DE-NAUDREY
# Update on 24/12/2009 by Chiquitine29
# Start at: 21:39:50 | 29/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Turion(tm) X2 Dual-Core Mobile RM-70
# Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
# Internet Explorer 8.0.6001.18865
# Windows Firewall Status : Enabled
# AV : Malware Defense 1.0 [ Enabled | (!) Outdated ]
# C:\ # Disque fixe local # 223,66 Go (72,16 Go free) # NTFS
# D:\ # Disque fixe local # 9,23 Go (1,67 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM
############################## | Processus actifs |
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Hpservice.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\aestsrv.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Windows Live\Family Safety\fsssvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Windows\system32\lxctcoms.exe
C:\Windows\system32\svchost.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe
C:\Windows\SMINST\BLService.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\conime.exe
################## | C: |
################## | C:\Windows |
################## | C:\Windows\system32 |
################## | C:\Windows\system32\drivers |
################## | C:\Users\Naudrey\AppData\Roaming |
Présent ! C:\Users\Naudrey\AppData\Roaming\drivers
Présent ! C:\Users\Naudrey\AppData\Roaming\drivers\downld
################## | Temporary Internet Files |
Présent ! C:\Users\Naudrey\Local Settings\Temporary Internet Files\Content.IE5\9TM2EPHK\filelist[1].txt
Présent ! C:\Users\Naudrey\Local Settings\Temporary Internet Files\Content.IE5\DPGAUV6R\file[1].txt
################## | Registre / Clés infectieuses |
Présent ! [HKCU\Software\bisoft]
Présent ! [HKU\S-1-5-21-2431018338-3128976647-1068608596-1000\Software\bisoft]
################## | Etat / Services / Informations |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Uac = 0x0
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 3 ( Good = 2 | Bad = 4 )
# windefend -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # FindyKill V5.022 ! |
Voili Voilou. Jpense ke jdois avoir un joli virus car j'ai également des sons ki sortent tout seul de mon pc alors que aucune fenetre ouverte :s
Marsh Posté le 29-12-2009 à 22:49:03
Moi je pense que tu va te faire tapper sur les doigts car il y a une nouvelle procédure qui dit de ne plus poster de rapport hijackthis,
Il faut plus tôt sauvegarder son rapport dans un fichier texte puis le hoster sur un site (genre http://www.cijoint.fr/) et nous fournir le lien ici
Sinon pour te répondre quand même, ton rapport semble être clean.
Tu as fait aussi un sacn avec Spybot ? ou ad aware ? ils sont nettement plus efficace contre les malwre que les Anti Virus;
Marsh Posté le 30-12-2009 à 01:12:20
Oups je ne savais pas du tout :s
J'ai téléchargé et installé spybot, mais quand je veux le mettre en route il y a un message comme quoi le programme à été fermé car il ne fonctionne pas correctement.
Pour ad aware, il a trouvé détecté des "objets" qu'il a supprimé : Win32, MyWebSearch
Marsh Posté le 30-12-2009 à 09:35:33
Résultat ? toujours pareil ?
PS : Il faut modifier ton 2ème post et faire comme je t'avais indiqué
Marsh Posté le 30-12-2009 à 10:23:51
Comme indiqué par RabzorGT, tu peux éditer ton post pour supprimer les rapports et éviter que les Modos nous tombent dessus Tu peux toujours héberger les fichiers des rapports sur Cijoint ou sur Toofiles, puis nous faire parvenir les liens correspondants ici (ça c'est autorisé)
Pour la suite, fais ceci :
* Note : Si le Bureau ne réapparait pas, appuie sur Ctrl + Alt + Suppr et va dans l'onglet Processus. Clique ensuite sur "Fichier" -> "Nouvelle tâche" , tapes "explorer.exe" (sans les guillaumets) et valide.
Pour info, ton rapport HijackThis montre que ta page d'accueil et ton moteur de recherche ont été modifiés. Exemple :
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.cherche.us
Tu as été sur Chat-Land.org récemment? C'est ce qui provoque ces redirections. Je te suggère de ne plus y retourner.
Pour finir, utilise ce logiciel de diagnostic qui est plus complet que HijackThis :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' Continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître (log.txt et info.txt) : ne les poste pas directement ici (une règle de ce forum l'interdit). A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
Marsh Posté le 31-12-2009 à 12:08:39
Bonjour a vous ^^
Voila j'ai fait comme vs m'avez dit et voici les rapports (par lien ^^) :
RSIT :
http://www.toofiles.com/fr/oip/doc [...] logrs.html
Findkill :
http://www.toofiles.com/fr/oip/doc [...] dkill.html
Marsh Posté le 06-01-2010 à 16:33:51
Salut
Il y a quelques infections visibles sur le rapport de RSIT, et je soupçonne également la présence d'un rootkit (qui est peut-être à l'origine des plantages).
Il va falloir que tu utilises ComboFix.
Mais d'abord, il faut que tu désactives le contrôle des comptes d'utilisateurs (tu pourras le réactiver à la fin de la désinfection) :
Ensuite, pour ComboFix, voici les instructions à suivre :
/!\ A l'attention de ceux qui lisent ce sujet /!\
Le logiciel qui suit doit être utilisé avec précaution et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si une personne du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous les logiciels de protection sur Pc (antivirus, pare-feu, antispyware etc) car ils risquent de gêner l'outil /!\
• Télécharge ComboFix (de sUBs) et enregistre-le sur le Bureau (pas ailleurs, sinon il ne foncitonnera pas)
• Ferme toutes tes applications (y compris ton navigateur) et double-clique sur le fichier exécutable présent sur le Bureau
• Lance le scan, puis laisse travailler l'outil jusqu'au bout sans rien faire d'autre et sans l'interrompre (peu importe le temps que cela peut prendre). Il faut éviter aussi de cliquer dans la fenêtre de ComboFix.
• Il est possible que ComboFix fasse redémarrer ton ordi pour relancer un scan au démarrage => laisse-le faire jusqu'au bout
• Lorsque la recherche sera terminée, ComboFix te le dira et un rapport apparaîtra. Poste ce dernier (C:\Combofix.txt) dans ta prochaine réponse stp.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
P.S : Bonne année ^^
Marsh Posté le 07-01-2010 à 09:47:27
Bonjour,
Bonne année a toi aussi ^^
Bon bah mauvaise nouvelle, je n'arrive pas a ouvreir ComboFix.
J'ai retiré tt les pare feu et antivirus, mais quand je veux fait éxécuter le programme, il ne se passe plus rien après...il ne se lance pas.
Si je reformate le pc, le viru partira?
Marsh Posté le 07-01-2010 à 09:49:13
J'ai quand même reassayé de l'installer, et j'ai un message de microsoft wndows qui me dit que : ComboFix.exe a cessé de fonctionner... grrrrr
Marsh Posté le 07-01-2010 à 10:54:30
Salut
Tu as bien désactivé le contrôle des comptes utilisateurs avant d'utiliser Combo, comme expliqué?
Marsh Posté le 07-01-2010 à 14:17:59
Ok, dans ce cas supprime ComboFix, et retélécharge-le sous un autre nom => Nawdrey.exe
Ensuite, réessai (en ayant désactivé tes logiciels de protection avant)
Marsh Posté le 07-01-2010 à 18:32:06
Merci ^^
Voila le rapport :
ComboFix 10-01-04.01 - Naudrey 07/01/2010 17:57:07.1.2 - x86
Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3069.2237 [GMT 1:00]
Lancé depuis: c:\users\Naudrey\Desktop\nawdrey.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-2431018338-3128976647-1068608596-500
c:\$recycle.bin\S-1-5-21-542954357-4199997397-989294168-500
C:\LOG.TXT
c:\users\Naudrey\AppData\Local\ibezb.dat
c:\users\Naudrey\AppData\Local\ibezb.exe
c:\users\Naudrey\AppData\Local\ibezb_nav.dat
c:\users\Naudrey\AppData\Local\ibezb_navps.dat
c:\windows\system32\drivers\H8SRTdfodblaeuq.sys
c:\windows\system32\H8SRTatpctjqxet.dll
c:\windows\system32\H8SRTdbifxybemn.dll
c:\windows\system32\H8SRTmxcnveesxd.dll
c:\windows\system32\H8SRTqpmjdcbwqx.dat
c:\windows\system32\srcr.dat
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_H8SRTd.sys
-------\Legacy_H8SRTd.sys
((((((((((((((((((((((((((((( Fichiers créés du 2009-12-07 au 2010-01-07 ))))))))))))))))))))))))))))))))))))
.
2010-01-06 21:52 . 2010-01-06 21:52 -------- d-----w- c:\users\Naudrey\AppData\Local\CyberLink
2010-01-01 18:29 . 2010-01-07 16:31 90 ----a-w- c:\users\Naudrey\AppData\Local\ibezb.bat
2009-12-31 10:21 . 2009-12-31 10:21 -------- d-----w- c:\program files\trend micro
2009-12-31 10:21 . 2009-12-31 10:21 -------- d-----w- C:\rsit
2009-12-30 00:10 . 2009-12-29 23:05 15880 ----a-w- c:\windows\system32\lsdelete.exe
2009-12-29 23:05 . 2009-09-23 12:55 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-12-29 23:01 . 2009-12-29 23:01 -------- dc-h--w- c:\programdata\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-12-29 23:01 . 2009-12-29 23:05 -------- d-----w- c:\programdata\Lavasoft
2009-12-29 23:01 . 2009-12-29 23:01 -------- d-----w- c:\program files\Lavasoft
2009-12-28 12:35 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-28 12:35 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-12-28 12:35 . 2009-12-28 12:35 -------- d-----w- c:\programdata\Avira
2009-12-28 12:08 . 2009-12-28 12:18 -------- d-----w- c:\program files\Navilog1
2009-12-28 10:46 . 2009-12-31 09:58 -------- d-----w- C:\FindyKill
2009-12-27 22:31 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 22:31 . 2009-12-27 22:31 -------- d-----w- c:\programdata\Malwarebytes
2009-12-27 22:31 . 2009-12-27 22:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-12-27 22:31 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 21:44 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-27 21:44 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-27 21:44 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-27 21:44 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-27 21:44 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-27 21:44 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-27 21:44 . 2009-11-24 23:49 53328 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2009-12-27 21:44 . 2009-12-27 21:44 -------- d-----w- c:\program files\Alwil Software
2009-12-27 19:41 . 2007-12-24 16:37 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-12-27 19:40 . 2009-12-27 19:44 -------- d-----w- c:\users\Naudrey\AppData\Roaming\HouseCall 6.6
2009-12-27 19:40 . 2009-12-31 09:16 -------- d-----w- c:\windows\system32\HouseCall 6.6
2009-12-27 19:31 . 2009-12-27 19:33 -------- d-----w- c:\windows\BDOSCAN8
2009-12-27 18:53 . 2009-12-27 18:53 -------- d-----w- c:\program files\Avira
2009-12-27 17:49 . 2010-01-07 07:09 893 ----a-w- c:\windows\system32\krl32mainweq.dll
2009-12-16 21:56 . 2009-12-16 21:58 -------- d-----w- c:\users\Naudrey\Graphisoft
2009-12-16 21:56 . 2009-12-16 21:56 -------- d-----w- c:\users\Naudrey\AppData\Roaming\Graphisoft
2009-12-16 21:56 . 2009-12-16 21:56 -------- d-----w- c:\users\Naudrey\AppData\Local\Graphisoft
2009-12-16 21:48 . 2009-12-27 20:14 -------- d-----w- c:\program files\WIBUKEY
2009-12-16 21:45 . 2009-12-16 21:45 -------- d-----w- c:\program files\Graphisoft
2009-12-13 22:35 . 2009-12-13 22:35 -------- d-----w- c:\program files\LimeWire
2009-12-10 08:27 . 2009-11-09 13:22 24064 ----a-w- c:\windows\system32\nshhttp.dll
2009-12-10 08:27 . 2009-11-09 13:20 31232 ----a-w- c:\windows\system32\httpapi.dll
2009-12-10 08:27 . 2009-11-09 11:04 411136 ----a-w- c:\windows\system32\drivers\http.sys
2009-12-09 07:48 . 2009-12-09 07:48 -------- d-----w- c:\program files\Common Files\Scanner
2009-12-09 07:48 . 2009-12-09 07:50 -------- d-----w- c:\program files\CA Yahoo! Anti-Spy
2009-12-08 22:40 . 2009-12-08 22:41 -------- d-----w- c:\programdata\Yahoo! Companion
2009-12-08 22:40 . 2009-12-08 22:40 -------- d-----w- c:\program files\CCleaner
2009-12-08 22:11 . 2009-12-29 22:37 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-12-08 22:11 . 2009-12-29 22:37 -------- d-----w- c:\programdata\Spybot - Search & Destroy
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-07 17:16 . 2009-11-10 08:48 -------- d-----w- c:\users\Naudrey\AppData\Roaming\LimeWire
2010-01-07 11:05 . 2009-12-29 23:04 6296864 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Resources.dll
2010-01-06 21:51 . 2008-05-27 07:17 -------- d-----w- c:\program files\CyberLink
2010-01-06 21:50 . 2010-01-06 21:48 36864 ----a-w- c:\programdata\TEMP\{01FB4998-33C4-4431-85ED-079E3EEFE75D}\PostBuild.exe
2010-01-06 20:50 . 2008-10-16 19:51 -------- d-----w- c:\program files\Lx_cats
2010-01-05 15:58 . 2008-05-27 15:26 669890 ----a-w- c:\windows\system32\perfh00C.dat
2010-01-05 15:58 . 2008-05-27 15:26 123896 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-31 09:54 . 2009-08-16 18:55 -------- d-----w- c:\programdata\Zylom
2009-12-29 23:05 . 2009-12-29 23:05 862040 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\threatwork.exe
2009-12-29 23:05 . 2009-12-29 23:05 15880 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-12-29 23:05 . 2009-12-29 23:05 206944 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\lavamessage.dll
2009-12-29 23:05 . 2009-12-29 23:05 390288 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\lavalicense.dll
2009-12-29 23:05 . 2009-12-29 23:05 537576 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\aawapi.dll
2009-12-29 23:05 . 2009-12-29 23:05 370744 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\UpdateManager.dll
2009-12-29 23:05 . 2009-12-29 23:05 163728 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-12-29 23:05 . 2009-12-29 23:05 194104 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Savapibridge.dll
2009-12-29 23:04 . 2009-12-29 23:04 327000 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-12-29 23:04 . 2009-12-29 23:04 87496 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-12-29 23:04 . 2009-12-29 23:04 933120 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\CEAPI.dll
2009-12-29 23:04 . 2009-12-29 23:04 641632 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\AutoLaunch.exe
2009-12-29 23:04 . 2009-12-29 23:04 816272 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe
2009-12-29 23:04 . 2009-12-29 23:04 822904 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe
2009-12-29 23:04 . 2009-12-29 23:03 1643272 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\Ad-Aware.exe
2009-12-29 23:03 . 2009-12-29 23:03 788880 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\AAWTray.exe
2009-12-29 23:03 . 2009-12-29 23:03 1181328 ----a-w- c:\programdata\Lavasoft\Ad-Aware\Update\AAWService.exe
2009-12-29 11:00 . 2008-12-17 20:50 -------- d-----w- c:\program files\BitComet
2009-12-16 14:54 . 2009-05-13 12:13 -------- d-----w- c:\program files\Google
2009-12-12 22:38 . 2009-11-29 17:06 -------- d-----w- c:\program files\EvenMoreMegaSwellAdsForYou
2009-12-10 12:49 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2009-12-08 22:40 . 2009-08-16 23:13 -------- d-----w- c:\program files\Yahoo!
2009-12-08 21:16 . 2009-10-12 19:37 91 ----a-w- c:\users\Naudrey\AppData\Local\parado.bat
2009-12-01 22:01 . 2009-12-01 22:01 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf
2009-12-01 22:01 . 2008-10-22 20:35 -------- d-----w- c:\users\Naudrey\AppData\Roaming\Apple Computer
2009-11-30 14:17 . 2009-11-30 14:17 0 ----a-w- c:\windows\nsreg.dat
2009-11-29 16:24 . 2008-12-21 19:44 -------- d-----w- c:\users\Naudrey\AppData\Roaming\dvdcss
2009-11-24 22:08 . 2008-12-17 22:50 -------- d-----w- c:\program files\Microsoft
2009-11-24 22:07 . 2008-10-13 18:00 -------- d-----w- c:\program files\Windows Live
2009-11-21 06:40 . 2009-12-09 18:40 916480 ----a-w- c:\windows\system32\wininet.dll
2009-11-21 06:34 . 2009-12-09 18:40 71680 ----a-w- c:\windows\system32\iesetup.dll
2009-11-21 06:34 . 2009-12-09 18:40 109056 ----a-w- c:\windows\system32\iesysprep.dll
2009-11-21 04:59 . 2009-12-09 18:40 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2009-11-19 07:28 . 2009-10-15 17:17 90112 ----a-w- c:\windows\LGMobileDL.dll
2009-11-18 17:59 . 2009-11-18 17:59 0 ----a-w- c:\users\Naudrey\errorlog.tmp
2009-11-11 19:33 . 2008-10-19 17:43 -------- d-----w- c:\program files\PhotoFiltre
2009-11-09 19:43 . 2009-11-09 19:43 -------- d-----w- c:\program files\AviSynth 2.5
2009-11-03 13:48 . 2009-05-24 23:10 1540 ----a-w- c:\users\Naudrey\AppData\Roaming\wklnhst.dat
2009-11-02 19:42 . 2009-10-03 18:39 195456 ------w- c:\windows\system32\MpSigStub.exe
2009-10-29 09:41 . 2009-11-25 14:09 2048 ----a-w- c:\windows\system32\tzres.dll
2009-10-16 21:28 . 2009-10-07 19:16 737280 ----a-w- c:\windows\iun6002.exe
2009-08-03 22:04 . 2009-08-03 22:04 22 --sha-w- c:\windows\SMINST\HPCD.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-17 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-04-16 442433]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-05-14 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-03 148888]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
c:\users\Naudrey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2009-9-30 503808]
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-11-4 113664]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"UacDisableNotify"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer"=wdmaud.drv
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 11:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
2009-09-03 21:17 3342336 ----a-w- c:\program files\Electronic Arts\EADM\Core.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
2006-11-22 08:11 82864 ----a-w- c:\program files\Lexmark 5400 Series\ezprint.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\fssui]
2009-08-05 21:48 647520 ----a-w- c:\program files\Windows Live\Family Safety\fsui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-03-12 19:56 342312 ----a-w- c:\program files\iTunes\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark 5400 Series Fax Server]
2006-11-22 08:12 304048 ----a-w- c:\program files\Lexmark 5400 Series\fm3032.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LXCTCATS]
2006-11-21 11:27 106496 ----a-w- c:\windows\System32\spool\drivers\w32x86\3\lxcttime.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxctmon.exe]
2006-11-22 08:11 291760 ----a-w- c:\program files\Lexmark 5400 Series\lxctmon.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 14:31 2144088 ------w- c:\program files\Spybot - Search & Destroy\TeaTimer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VeohPlugin]
2009-02-06 20:44 3572984 ----a-w- c:\program files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YouCam Mirror Tray icon]
2009-06-11 12:14 162912 ------w- c:\program files\CyberLink\YouCam\YouCamTray.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2431018338-3128976647-1068608596-1000]
"EnableNotificationsRef"=dword:00000002
R0 Amddfltr;Amd Disk Lower Filter Driver;c:\windows\System32\drivers\Amddfltr.sys [20/06/2008 15:11 15416]
R0 Lbd;Lbd;c:\windows\System32\drivers\Lbd.sys [30/12/2009 00:05 64288]
R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [27/12/2009 22:44 114768]
R2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\AEstSrv.exe [20/06/2008 15:07 73728]
R2 aswFsBlk;aswFsBlk;c:\windows\System32\drivers\aswFsBlk.sys [27/12/2009 22:44 20560]
R2 aswMonFlt;aswMonFlt;c:\windows\System32\drivers\aswMonFlt.sys [27/12/2009 22:44 53328]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:23 21504]
R2 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [24/11/2009 23:07 54632]
R2 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
R2 hpsrv;HP Service;c:\windows\System32\hpservice.exe [18/03/2008 15:24 19456]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1181328]
R2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [27/05/2008 08:32 341328]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [08/12/2009 23:11 1153368]
R3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [27/05/2008 07:19 193840]
R3 enecir;ENE CIR Receiver;c:\windows\System32\drivers\enecir.sys [23/01/2008 22:23 52736]
R3 JMCR;JMCR;c:\windows\System32\drivers\jmcr.sys [01/04/2008 12:14 81296]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [28/12/2009 13:35 108289]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
2010-01-07 c:\windows\Tasks\Ad-Aware Update (Daily 1).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 23:04]
2010-01-07 c:\windows\Tasks\Ad-Aware Update (Daily 2).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 23:04]
2010-01-07 c:\windows\Tasks\Ad-Aware Update (Daily 3).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 23:04]
2010-01-07 c:\windows\Tasks\Ad-Aware Update (Daily 4).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 23:04]
2010-01-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 23:04]
2009-12-16 c:\windows\Tasks\HPCeeScheduleForNaudrey.job
- c:\program files\hewlett-packard\sdp\ceement\HPCEE.exe [2008-05-27 13:14]
2010-01-06 c:\windows\Tasks\User_Feed_Synchronization-{89F9BD3E-451F-4DCE-9607-82F24F5F1759}.job
- c:\windows\system32\msfeedssync.exe [2009-12-09 04:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.facebook.fr/
uDefault_Search_URL = hxxp://www.cherche.us/keyword/%s
uSearchMigratedDefaultURL = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.cherche.us/keyword/%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Naudrey\AppData\Roaming\Mozilla\Firefox\Profiles\uwohwuqf.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.fr/
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\MpcStar\Codecs\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\npWebPlayerVideoPluginATL.dll
FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -
HKCU-Run-BitComet - c:\program files\BitComet\BitComet.exe
HKCU-Run-ibezb - c:\users\naudrey\appdata\local\ibezb.exe
MSConfigStartUp-BitComet - c:\program files\BitComet\BitComet.exe
MSConfigStartUp-Malware Defense - c:\program files\Malware Defense\mdefense.exe
AddRemove-HijackThis - c:\users\Naudrey\AppData\Local\Temp\HijackThis.exe
**************************************************************************
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés:
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_f691e717\STacSV.exe
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\WLANExt.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\lxctcoms.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe
c:\program files\HP\QuickPlay\Kernel\TV\QPSched.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\conime.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Windows Media Player\wmpnscfg.exe
c:\program files\Alwil Software\Avast4\ashDisp.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Heure de fin: 2010-01-07 18:24:13 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-01-07 17:24
Avant-CF: 72 131 252 224 octets libres
Après-CF: 72 074 813 440 octets libres
- - End Of File - - 83AE46F0E57DEB674976B8D09E3557AA
Marsh Posté le 07-01-2010 à 23:05:13
Pas de log ici fais comme tu avais fait plus haut ( http://forum.hardware.fr/forum2.ph [...] 0#t2921236 )
Marsh Posté le 08-01-2010 à 09:56:16
Salut
Comme je le soupçonnais, il y avait un rootkit sur ton PC. C'est lui qui était à l'origine des plantages et c'est aussi lui empêchait tes logiciels de protection de fonctionner correctement. La particularité des rootkits, c'est leur technique de se camoufler au reste du système, ce qui les rend difficiles à détecter et à traiter.
Ici, ComboFix a pu s'en occuper, donc tes logiciels de protection vont pouvoir fonctionner normalement.
Désinstalle Malwarebytes Antimalware, et retélécharge-le ici pour le réinstaller correctement :
• Télécharge et installe Malwarebytes' Anti-Malware
• Veille à ce que la case "Mettre à jour Malwarebytes" soit cochée
• Une fois installé, lance MBAM et va dans l'onglet "Recherche", coche "Exécuter un examen Complet" puis fais "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport, et pense à vider la quarantaine
• S'il t'est demandé de redémarrer l'ordinateur, accepte
• Pour finir, poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Combo a aussi supprimé une infection connue sous le nom de Navipromo : elle est là pour afficher de la pub intempestive et s'installe via certains logiciels gratuits, dont ceux-ci :
• Funky Emoticons
• Games Attack
• go-astro
• GoRecord
• HotTVPlayer / HotTVPlayer & Paris Hilton
• Live-Player
• MailSkinner
• Messenger Skinner
• Instant Access
• InternetGameBox
• Officiale Emule (Version d'Emule modifiée)
• Original-solitaire
• SuperSexPlayer
• Speed Downloading
• Sudoplanet
• Webmediaplayer
Il te faudra donc les éviter sinon Navipromo reviendra ^^
J'ai vu aussi que tu avais pas mal de toolbars (barres d'outils). Est-ce que tu te sers de tous? Généralement, ils encombrent les navigateurs et les rendent instables. Ils peuvent aussi ralentir le Pc. N'hésite pas à désinstaller ceux que tu n'utilises pas.
J'attends ton rapport de MBAM pour la suite
P.S : Si tu décides de réinstaller un antivirus, choisi autre chose qu'Avast (Antivir, AVG...). Je t'expliquerai pourquoi un peu plus loin
Marsh Posté le 09-01-2010 à 12:47:59
Bonjour
je pense avoir le meme rootkit
les symptoimes :
- erreur au demarrage WIndows defender a cessé de fonctionner MSASCui.exe
- Antivir ne se lance plus, et reinstalle de antivir génére un ecran bleu
- Install de Spybot genere un ecran bleu
- le rapport hijackthis ne donne rien de suscpicious
- j'ai aussi essayé OTL.exe qui ne trouve rien
- j'ai aussi essayé Norman_Malwer_cleaner qui ne trouve rien
- Avira Removal Tool ne trouve rien non plus
enfin que du bonheur
je vais essayé comboxfix et findkill et je vous tiens au courant
a+
syl
Marsh Posté le 09-01-2010 à 15:42:57
Bon ca y est l'antivirus remarche donc le rootkit a du se faire manger
merci à l'extarminateur CONBOXFIX
Autres symptomes si cela peut servir
- j'avais une googleupdate.exe qui revenait sans arret, surement un petit du rootkit
- dans le gestionnaire des taches un iexplorer.exe qui se lancait tout seul mais sans fenetre visible
- et le dernier, chkdsk /F /R qui disait que mon disque etait un RAW et que c'etait terminé
Autre info CONBOXFIX avait trouvé :
c:\Windows\system32\drivers\H8SRTmwpecuiox.sys
c:\Windows\system32\H8SRTpbrmvrpbxi.dll
c:\Windows\system32\H8SRTundfmtbxdf.dat
c:\Windows\system32\H8SRTuovtnmctei.dII
c:\Windows\system32\H8SRTrslqntimutdII
comboxfix a reactivé l'UAC je vais laisser comme ca par sécurité
Voila merci pour ce post
syl
Marsh Posté le 10-01-2010 à 01:51:08
Coucou
Voilai j'ai supprimer la toolbar yahoo ainsi que avast. Je peux réinstaller antivirguard? Je l'avais pas réinstaller car des ke je louvrais il fesait planter mon pc :s
Et voici le rapport :
http://www.toofiles.com/fr/oip/doc [...] 29-09.html
Grrr saleté de virus ^^
Marsh Posté le 27-12-2009 à 21:44:44
Bonjour a tous,
Pas très experte en informatique, j'ai tout de même essayer de chercher sur des forums une solution a mon problème mais je ne comprends rien du tout
Voila, tout a l'heure en surfant sur le net, un virus m'a supprimer mon antivus Antivir personnal après que celui-ci est detecté un virus, depuis je l'ai reinstaller mais quand je l'ouvre il plante mon orid, l'ecran devient noir, blanc, enfin de toute les couleurs, et je suis obligée de redemarré mon pc. Idem pour Malwarebytes. J'ai également testé de faire une analyse sur un site internet mais ca ne veux pas me le faire :s
J'ai aussi un message d'erreur quand mon pc se rallume en me disant que Windows Defender a cesser de fonctionner.
Une analyse par hijackthis a été faire, mais je ne comprends pas vraiment :s
Bref pour faire simple je suis dans la merde :s, une aide me serai un super cadeau pour noel ^^