TR/Crypt.XPACK.Gen et TR/Spy.Gen [HELP]
Dernière réponse : dans Le monde de Windows
Bonjour à tous,
Voila j'ai déjà fait part de mon problème mais après m'avoir expliqué la manœuvre à faire plus de réponse... Donc je m'adresse à vous en espérant que vous aurez la patiente.
Voila Antivir a commencé par me détecter TR/Crypt.XPACK.Gen et TR/Spy.Gen, aucune manœuvre possible(quarantaine, supprimer etc...). Bon j'admets qu'au début la seule solution que j'ai trouvée était de ne pas lancer Antivir, comme ça pas d'alerte gênante... Seulement j'aurai due m'inquiéter car maintenant mon pc ne fonctionne plus, c'est à dire qu'il reste planté sur le bureau !
On m'a dit de faire une analyse complète avec malwarebytes puis avec hijackthis, seulement malwarebytes ne détecte aucun fichier infesté... Voila si vous avez besoin du rapport d'hijackthis ou même de malwarebytes je n'attend que votre signal.
Je vous remercie pour avoir pris le temps de lire mon message et à la prochaine je l'espère !
Amicalement pablococo
Voila j'ai déjà fait part de mon problème mais après m'avoir expliqué la manœuvre à faire plus de réponse... Donc je m'adresse à vous en espérant que vous aurez la patiente.
Voila Antivir a commencé par me détecter TR/Crypt.XPACK.Gen et TR/Spy.Gen, aucune manœuvre possible(quarantaine, supprimer etc...). Bon j'admets qu'au début la seule solution que j'ai trouvée était de ne pas lancer Antivir, comme ça pas d'alerte gênante... Seulement j'aurai due m'inquiéter car maintenant mon pc ne fonctionne plus, c'est à dire qu'il reste planté sur le bureau !
On m'a dit de faire une analyse complète avec malwarebytes puis avec hijackthis, seulement malwarebytes ne détecte aucun fichier infesté... Voila si vous avez besoin du rapport d'hijackthis ou même de malwarebytes je n'attend que votre signal.
Je vous remercie pour avoir pris le temps de lire mon message et à la prochaine je l'espère !
Amicalement pablococo
Autres pages sur : crypt xpack gen spy gen help
Lassé par la pub ? Créez un compte
Meilleure solution
Dans avenger faire ce script modifier.
Copier/coller tout le texte ci-bas:
Drivers to disable:
tqfpyhitjsh
Drivers to delete:
tqfpyhitjsh
Files to delete:
c:\windows\system32\drivers\tqfpyhitjsh.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zlhuzhyxommahmg
exécuter the avenger en cliquant sur avenger.exe et copier son contenu dans la fenêtre d'avenger
Décocher la case scan for Rootkits
Maintenant, lancer The Avenger en cliquant "The Avenger" va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
Copier/coller tout le texte ci-bas:
Drivers to disable:
tqfpyhitjsh
Drivers to delete:
tqfpyhitjsh
Files to delete:
c:\windows\system32\drivers\tqfpyhitjsh.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zlhuzhyxommahmg
exécuter the avenger en cliquant sur avenger.exe et copier son contenu dans la fenêtre d'avenger
Décocher la case scan for Rootkits
Maintenant, lancer The Avenger en cliquant "The Avenger" va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
Donc voilà pour HijackThis:
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 11:54:41, on 10/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WTouch\WTouchService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WTouch\WTouchUser.exe
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S180.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O20 - Winlogon Notify: zzop91 - zzop91.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe
--
End of file - 12568 bytes
________________________________________________________
En ce qui concerne le rogue je n'ai aucune idée de ce que c'est, si il y en a besoin dite moi comment l'obtenir, merci beaucoup![:)]( ":)")
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 11:54:41, on 10/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WTouch\WTouchService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WTouch\WTouchUser.exe
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\FICHIE~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Fichiers communs\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S180.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O20 - Winlogon Notify: zzop91 - zzop91.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\FICHIE~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe
--
End of file - 12568 bytes
________________________________________________________
En ce qui concerne le rogue je n'ai aucune idée de ce que c'est, si il y en a besoin dite moi comment l'obtenir, merci beaucoup
si pas déja fait, applique cette procédure :
scan ton pc(en mode sans échec) avec Malwarebytes et Spybot en les mettant à jour au préalable(scan complet pour Malwarebytes)
scan aussi avec VundoFix
scan aussi avec AVG Anti-Rootkit , scan et supprime si indésirables trouvés
fait aussi un scan en mode sans échec avec ton antivirus(celui-ci étant bien à jour)
ensuite, repost un rapport HijackThis.
et quand tout sera nickel, efface les points de restauration et créer en un nouveau.
et mets à jour XP aussi.
scan ton pc(en mode sans échec) avec Malwarebytes et Spybot en les mettant à jour au préalable(scan complet pour Malwarebytes)
scan aussi avec VundoFix
scan aussi avec AVG Anti-Rootkit , scan et supprime si indésirables trouvés
fait aussi un scan en mode sans échec avec ton antivirus(celui-ci étant bien à jour)
ensuite, repost un rapport HijackThis.
et quand tout sera nickel, efface les points de restauration et créer en un nouveau.
et mets à jour XP aussi.
Cocher et Fix checked les lignes suivantes:
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O20 - Winlogon Notify: zzop91 - zzop91.dll (file missing)
Scanner votre machine avec
Une fois installé lorsques que vous allez démarrer le logiciel il va demander de ce mettre à jour et cliquer "ok".
Sinon cliquer sur l'onglet "mise à jour" et sur "Recherche de mise à jour" pour la version gratuite avant chaque scan.
Dans l'onglet "Recherche" ,Vérifier que c'est bien "Exécuter un examen complet" qui est coché et appuyer le bouton "Rechercher".
Quand il aura fini cliquer sur "ok".
Vous allez maintenant être de retour à l'écran principal de la recherche. Cliquer sur "Afficher les résultats".
Maintenant vous allez voir le résultat avec les fichiers infectés.
Cliquer ensuite "Supprimer la Selection" et une fois terminée, il va ouvrir le "Bloc note" avec le résultat du travail.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Ensuite:
Pour Vundofix:
1 - Lancez le fichier (double-cliquez dessus).
2 - Cliquez sur Scan For Vundo et Cliquer Remove Vundo choisir Yes.
3 - Votre bureau va disparaître. Quand il va vous demander de fermer l'ordinateur cliqué Ok.
4 - Le log: "C:\vundofix.txt" est dans "C:\".
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Refaire un Hijackthis ensuite...
Attention! il ne faut jamais avoir 2 antivirus. Je vois Antivir et Norton...
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O20 - Winlogon Notify: zzop91 - zzop91.dll (file missing)
Scanner votre machine avec
Citation :
Télécharger le logiciel suivant: Malwarebytes' Anti-Malware (Gratuit) (Windows 2K et + 32/64 bits)Une fois installé lorsques que vous allez démarrer le logiciel il va demander de ce mettre à jour et cliquer "ok".
Sinon cliquer sur l'onglet "mise à jour" et sur "Recherche de mise à jour" pour la version gratuite avant chaque scan.
Dans l'onglet "Recherche" ,Vérifier que c'est bien "Exécuter un examen complet" qui est coché et appuyer le bouton "Rechercher".
Quand il aura fini cliquer sur "ok".
Vous allez maintenant être de retour à l'écran principal de la recherche. Cliquer sur "Afficher les résultats".
Maintenant vous allez voir le résultat avec les fichiers infectés.
Cliquer ensuite "Supprimer la Selection" et une fois terminée, il va ouvrir le "Bloc note" avec le résultat du travail.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Ensuite:
Citation :
Télécharger Vundofix (Windows 2K et plus 32 bits)- Pour Vundofix:
1 - Lancez le fichier (double-cliquez dessus).
2 - Cliquez sur Scan For Vundo et Cliquer Remove Vundo choisir Yes.
3 - Votre bureau va disparaître. Quand il va vous demander de fermer l'ordinateur cliqué Ok.
4 - Le log: "C:\vundofix.txt" est dans "C:\".
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Refaire un Hijackthis ensuite...
Attention! il ne faut jamais avoir 2 antivirus. Je vois Antivir et Norton...
Alors voila pour malwarebytes qui a cette fois ci détecté des fichiers infestés :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3846
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13
20/03/2010 15:50:30
mbam-log-2010-03-20 (15-50-30).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 173120
Temps écoulé: 30 minute(s), 3 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\gckoxsgm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uwshnds.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wgvlxfkx (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15cf0a13-9460-4f81-a75c-135eae16ed4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{15cf0a13-9460-4f81-a75c-135eae16ed4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vhwjgakc (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\uwshnds.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gckoxsgm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uvuvpyq.dll (Trojan.Vundo.H) -> Delete on reboot.
_____________________________________________________________
Ensuite pour VundoFix.txt :
VundoFix V7.0.6
Scan started at 15:57:22 20/03/2010
Listing files found while scanning....
C:\Windows\system32\gckoxsgm.dll
Beginning removal...
Attempting to delete C:\Windows\system32\gckoxsgm.dll
C:\Windows\system32\gckoxsgm.dll Could not be deleted.
Performing Repairs to the registry.
Done!
______________________________________________________________
Et pour finir j'ai refais un scan avec Hijackthis et j'ai aussi désinstallé un des deux antivirus comme vous me l'aviez conseillé :
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:07:46, on 20/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WTouch\WTouchService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\WTouch\WTouchUser.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S180.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe
--
End of file - 10686 bytes
______________________________________________________________
Voila et comme vous pouvez le constater deux des lignes dont vous m'aviez dit de cocher et Fixchecked sont toujours présentent contrairement aux autres.
Bon en ce qui concerne mon pc j'ai déjà l'impression qu'il fonctionne mieux, je confirmerais si Antivir ne détecte plus TR/Crypt.XPACK.Gen et TR/Spy.Gen. Mais il y a-t-il d'autres menaces présentent ?
En tout cas je vous remercie énormement pour votre aide !
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3846
Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 7.0.5730.13
20/03/2010 15:50:30
mbam-log-2010-03-20 (15-50-30).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 173120
Temps écoulé: 30 minute(s), 3 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\gckoxsgm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uwshnds.dll (Trojan.Vundo.H) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wgvlxfkx (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{15cf0a13-9460-4f81-a75c-135eae16ed4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{15cf0a13-9460-4f81-a75c-135eae16ed4e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vhwjgakc (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{895d977c-00a3-4019-a3e7-acaa476895b2} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\uwshnds.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gckoxsgm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\uvuvpyq.dll (Trojan.Vundo.H) -> Delete on reboot.
_____________________________________________________________
Ensuite pour VundoFix.txt :
VundoFix V7.0.6
Scan started at 15:57:22 20/03/2010
Listing files found while scanning....
C:\Windows\system32\gckoxsgm.dll
Beginning removal...
Attempting to delete C:\Windows\system32\gckoxsgm.dll
C:\Windows\system32\gckoxsgm.dll Could not be deleted.
Performing Repairs to the registry.
Done!
______________________________________________________________
Et pour finir j'ai refais un scan avec Hijackthis et j'ai aussi désinstallé un des deux antivirus comme vous me l'aviez conseillé :
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:07:46, on 20/03/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WTouch\WTouchService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\WTouch\WTouchUser.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Pen_Tablet.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program Files\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SMSTray] C:\Program Files\Samsung\EmoDio\SMSTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S180.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe Active File Monitor V7 (AdobeActiveFileMonitor7.0) - Adobe Systems Incorporated - C:\Program Files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
O23 - Service: WTouch Service (WTouchService) - Wacom Technology, Corp. - C:\Program Files\WTouch\WTouchService.exe
--
End of file - 10686 bytes
______________________________________________________________
Voila et comme vous pouvez le constater deux des lignes dont vous m'aviez dit de cocher et Fixchecked sont toujours présentent contrairement aux autres.
Bon en ce qui concerne mon pc j'ai déjà l'impression qu'il fonctionne mieux, je confirmerais si Antivir ne détecte plus TR/Crypt.XPACK.Gen et TR/Spy.Gen. Mais il y a-t-il d'autres menaces présentent ?
En tout cas je vous remercie énormement pour votre aide !
Nope tout est encore là...
Faire ceci:
Cocher et Fix checked dans Hijackthis:
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
Ensuite faire un log Combofix je reviendrai par la suite avec un script au besoin pour Combofix.
Télécharger combofix ici et Choisir "Enregistrer la cible sous" et modifier le nom du fichier pour votre nick ou autre.
(Windows 2K/XP/Vista 32 bits)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Désactiver votre antivirus et Windows Defender avant d'exécuter le logiciel en cliquant dessus.
Ensuite attendre que le log soit fini. Ne rien toucher avant la fin.
La barre démarrer peut disparaître et c'est normal.
Le rapport est dans "Bloc note" et vous pouvez le sauvegarder.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Faire ceci:
Cocher et Fix checked dans Hijackthis:
O2 - BHO: (no name) - {15CF0A13-9460-4F81-A75C-135EAE16ED4e} - C:\WINDOWS\system32\gckoxsgm.dll
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
Ensuite faire un log Combofix je reviendrai par la suite avec un script au besoin pour Combofix.
Télécharger combofix ici et Choisir "Enregistrer la cible sous" et modifier le nom du fichier pour votre nick ou autre.
(Windows 2K/XP/Vista 32 bits)
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Désactiver votre antivirus et Windows Defender avant d'exécuter le logiciel en cliquant dessus.
Ensuite attendre que le log soit fini. Ne rien toucher avant la fin.
La barre démarrer peut disparaître et c'est normal.
Le rapport est dans "Bloc note" et vous pouvez le sauvegarder.
Pour me copier/coller les log dans le "Bloc note" vous allez dans le menu Édition et cliquer sur "Sélectionner tout" et retourner dans "Édition" et cliquer sur "copier"
Sur le forum, faire un click droit et cliquer sur "coller".
Salut,
j'ai cocher et Fix checked ce que vous m'aviez demandé, cependant est-il normal que deux d'entre eux sont toujours présent quand je refait un scan ?
Ces deux là:
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
______________________________________________________________
Et voila pour ComboFix :
ComboFix 10-03-20.04 - Administrateur 21/03/2010 14:45:53.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.320 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\install.rdf
c:\program files\INSTALL.LOG
c:\windows\system32\drivers\pvjahvfb.sys
c:\windows\system32\drivers\yfaompno.sys
c:\windows\system32\gckoxsgm.dll
c:\windows\system32\muzapp.exe
c:\windows\system32\uvuvpyq.dll
c:\windows\system32\uwshnds.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_PVJAHVFB
-------\Legacy_VHWJGAKC
-------\Service_pvjahvfb
-------\Service_vhwjgakc
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-21 au 2010-03-21 ))))))))))))))))))))))))))))))))))))
.
2010-03-20 14:57 . 2010-03-20 20:19 -------- d-----w- C:\VundoFix Backups
2010-03-10 10:53 . 2010-03-10 10:53 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 10:53 . 2010-03-10 10:53 -------- d-----w- c:\program files\TrendMicro
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-10 09:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-21 14:02 . 2009-12-20 12:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2010-03-21 14:02 . 2009-12-21 19:42 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2010-03-20 19:04 . 2009-01-31 14:20 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-03-20 19:04 . 2009-01-31 14:07 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Symantec
2010-03-20 19:02 . 2009-01-31 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-01-26 12:14 . 2009-12-29 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-17 15:21 . 2010-01-17 15:21 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-17 15:21 . 2009-11-23 17:31 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-02 18:24 . 2008-07-10 07:26 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-25 21:46 . 2009-12-24 21:42 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-22 20:03 . 2008-08-22 10:39 17264 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-22 15:30 . 2009-12-22 15:30 -------- d-----w- c:\windows\Fonts\Fonts
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPQEASYACC"="c:\program files\Compaq\Easy Access Button Support\StartEAK.exe" [2001-10-10 28672]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2001-07-27 94208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2001-07-27 282624]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"HideClock"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 12:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 22:42 108289]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [20/12/2009 13:17 4408616]
R2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [20/12/2009 13:18 112936]
R3 WLAN_400_500_SERVICE;HP WLAN W400/W500 Wireless Network Adapter Service;c:\windows\system32\drivers\ar5211.sys [10/07/2008 08:32 468768]
S1 EACMOS;EACMOS;c:\windows\system32\drivers\EACMOS.SYS --> c:\windows\system32\drivers\EACMOS.SYS [?]
S2 zlhuzhyxommahmg;zlhuzhyxommahmg;\??\c:\windows\system32\drivers\tqfpyhitjsh.sys --> c:\windows\system32\drivers\tqfpyhitjsh.sys [?]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [20/12/2009 13:17 15656]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - PVJAHVFB
*Deregistered* - pvjahvfb
.
Contenu du dossier 'Tâches planifiées'
2009-01-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{895D977C-00A3-4019-A3E7-ACAA476895B2} - (no file)
HKU-Default-Run-olavhbud32 - c:\windows\system32\olavhbud32.dll
Notify-wgvlxfkx - (no file)
AddRemove-_{53A908D4-99C6-469B-BC13-F4189F260742} - c:\program files\Corel\Corel Painter Essentials 4\MSILauncher {53A908D4-99C6-469B-BC13-F4189F260742}
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-21 15:03
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8672A618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7881fc3
\Driver\ACPI -> ACPI.sys @ 0xf77e3cb8
\Driver\atapi -> atapi.sys @ 0xf77577b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094
ParseProcedure -> ntoskrnl.exe @ 0x8056f08e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094
ParseProcedure -> ntoskrnl.exe @ 0x8056f08e
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf7651ba0
PacketIndicateHandler -> NDIS.sys @ 0xf765eb21
SendHandler -> NDIS.sys @ 0xf763c87b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PSIService.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchUser.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\windows\AGRSMMSG.exe
c:\program files\Compaq\Easy Access Button Support\CPQEADM.EXE
c:\compaq\EAKDRV\EAUSBKBD.EXE
c:\windows\system32\rundll32.exe
c:\progra~1\Compaq\EASYAC~1\BttnServ.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Logitech\Video\FxSvr2.exe
.
**************************************************************************
.
Heure de fin: 2010-03-21 15:11:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-21 14:11
Avant-CF: 5 841 113 088 octets libres
Après-CF: 5 948 526 592 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
- - End Of File - - 9E89A53D21B7DB3609512E99E14D88BC
_____________________________________________________________
j'ai cocher et Fix checked ce que vous m'aviez demandé, cependant est-il normal que deux d'entre eux sont toujours présent quand je refait un scan ?
Ces deux là:
O2 - BHO: (no name) - {895D977C-00A3-4019-A3E7-ACAA476895B2} - c:\windows\system32\uwshnds.dll
O20 - Winlogon Notify: wgvlxfkx - uwshnds.dll (file missing)
______________________________________________________________
Et voila pour ComboFix :
ComboFix 10-03-20.04 - Administrateur 21/03/2010 14:45:53.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.320 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{2a6c9d61-54bc-422f-9558-1421bb74351d}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{37dec976-1e73-403c-a427-4d031da741a9}\install.rdf
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\chrome.manifest
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\chrome\xulcache.jar
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\defaults\preferences\xulcache.js
c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\extensions\{9dca5a24-708c-4529-9bc5-3fa3cc1cfdc3}\install.rdf
c:\program files\INSTALL.LOG
c:\windows\system32\drivers\pvjahvfb.sys
c:\windows\system32\drivers\yfaompno.sys
c:\windows\system32\gckoxsgm.dll
c:\windows\system32\muzapp.exe
c:\windows\system32\uvuvpyq.dll
c:\windows\system32\uwshnds.dll
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_PVJAHVFB
-------\Legacy_VHWJGAKC
-------\Service_pvjahvfb
-------\Service_vhwjgakc
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-21 au 2010-03-21 ))))))))))))))))))))))))))))))))))))
.
2010-03-20 14:57 . 2010-03-20 20:19 -------- d-----w- C:\VundoFix Backups
2010-03-10 10:53 . 2010-03-10 10:53 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 10:53 . 2010-03-10 10:53 -------- d-----w- c:\program files\TrendMicro
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-10 09:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-21 14:02 . 2009-12-20 12:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2010-03-21 14:02 . 2009-12-21 19:42 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2010-03-20 19:04 . 2009-01-31 14:20 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-03-20 19:04 . 2009-01-31 14:07 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Symantec
2010-03-20 19:02 . 2009-01-31 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-01-26 12:14 . 2009-12-29 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-17 15:21 . 2010-01-17 15:21 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-17 15:21 . 2009-11-23 17:31 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-01-02 18:24 . 2008-07-10 07:26 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2009-12-25 21:46 . 2009-12-24 21:42 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-22 20:03 . 2008-08-22 10:39 17264 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-12-22 15:30 . 2009-12-22 15:30 -------- d-----w- c:\windows\Fonts\Fonts
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPQEASYACC"="c:\program files\Compaq\Easy Access Button Support\StartEAK.exe" [2001-10-10 28672]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2001-07-27 94208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2001-07-27 282624]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"HideClock"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 12:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 22:42 108289]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [20/12/2009 13:17 4408616]
R2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [20/12/2009 13:18 112936]
R3 WLAN_400_500_SERVICE;HP WLAN W400/W500 Wireless Network Adapter Service;c:\windows\system32\drivers\ar5211.sys [10/07/2008 08:32 468768]
S1 EACMOS;EACMOS;c:\windows\system32\drivers\EACMOS.SYS --> c:\windows\system32\drivers\EACMOS.SYS [?]
S2 zlhuzhyxommahmg;zlhuzhyxommahmg;\??\c:\windows\system32\drivers\tqfpyhitjsh.sys --> c:\windows\system32\drivers\tqfpyhitjsh.sys [?]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [20/12/2009 13:17 15656]
--- Autres Services/Pilotes en mémoire ---
*NewlyCreated* - PVJAHVFB
*Deregistered* - pvjahvfb
.
Contenu du dossier 'Tâches planifiées'
2009-01-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{895D977C-00A3-4019-A3E7-ACAA476895B2} - (no file)
HKU-Default-Run-olavhbud32 - c:\windows\system32\olavhbud32.dll
Notify-wgvlxfkx - (no file)
AddRemove-_{53A908D4-99C6-469B-BC13-F4189F260742} - c:\program files\Corel\Corel Painter Essentials 4\MSILauncher {53A908D4-99C6-469B-BC13-F4189F260742}
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-21 15:03
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8672A618]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7881fc3
\Driver\ACPI -> ACPI.sys @ 0xf77e3cb8
\Driver\atapi -> atapi.sys @ 0xf77577b4
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094
ParseProcedure -> ntoskrnl.exe @ 0x8056f08e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0094
ParseProcedure -> ntoskrnl.exe @ 0x8056f08e
NDIS: Broadcom NetXtreme Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf7651ba0
PacketIndicateHandler -> NDIS.sys @ 0xf765eb21
SendHandler -> NDIS.sys @ 0xf763c87b
user & kernel MBR OK
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3556)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\PSIService.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchUser.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\windows\AGRSMMSG.exe
c:\program files\Compaq\Easy Access Button Support\CPQEADM.EXE
c:\compaq\EAKDRV\EAUSBKBD.EXE
c:\windows\system32\rundll32.exe
c:\progra~1\Compaq\EASYAC~1\BttnServ.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Logitech\Video\FxSvr2.exe
.
**************************************************************************
.
Heure de fin: 2010-03-21 15:11:37 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-03-21 14:11
Avant-CF: 5 841 113 088 octets libres
Après-CF: 5 948 526 592 octets libres
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn
- - End Of File - - 9E89A53D21B7DB3609512E99E14D88BC
_____________________________________________________________
Scanner moi c:\windows\system32\drivers\tqfpyhitjsh.sys ici: http://www.virustotal.com/en/virustotalf.html
Télécharger Kaspersky tdsskiller: http://support.kaspersky.com/downloads/utils/tdsskiller...
Le décompresser dans un nouveau dossier sur votre disque dur ou sur le bureau. Cliquer-droit - "Extraire ici". Supprimer TDSSKiller.zip.
Fermer tout et désactiver antivirus et tout autre programme de protection. Renommer TDSSKiller.exe en ordi.com puis lancer le programme et patienter jusqu'à la fin de l'analyse.
Lorsque terminé, le programme va vous demander d'écrire le mot Delete et "Y" pour redémarrer pour finir la désinfection et il va se désactive lui-même.
Le rapport généré est sauvegardé à la racine de la partition système (normalement C:\). Le nom du log est X:\TDSSKiller.version_JJ.MM.AAAA_HH.MN.SS_log.txt.
Télécharger Kaspersky tdsskiller: http://support.kaspersky.com/downloads/utils/tdsskiller...
Le décompresser dans un nouveau dossier sur votre disque dur ou sur le bureau. Cliquer-droit - "Extraire ici". Supprimer TDSSKiller.zip.
Fermer tout et désactiver antivirus et tout autre programme de protection. Renommer TDSSKiller.exe en ordi.com puis lancer le programme et patienter jusqu'à la fin de l'analyse.
Lorsque terminé, le programme va vous demander d'écrire le mot Delete et "Y" pour redémarrer pour finir la désinfection et il va se désactive lui-même.
Le rapport généré est sauvegardé à la racine de la partition système (normalement C:\). Le nom du log est X:\TDSSKiller.version_JJ.MM.AAAA_HH.MN.SS_log.txt.
Salut à toi g225,
une fois dans c:\windows\system32\drivers je ne trouve pas tqfpyhitjsh.sys, peut-être à-t-il été supprimé ?
et voici le log de TDSSKiller :
16:54:04:708 1500 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
16:54:04:708 1500 ================================================================================
16:54:04:708 1500 SystemInfo:
16:54:04:708 1500 OS Version: 5.1.2600 ServicePack: 2.0
16:54:04:708 1500 Product type: Workstation
16:54:04:708 1500 ComputerName: PC
16:54:04:708 1500 UserName: Administrateur
16:54:04:708 1500 Windows directory: C:\WINDOWS
16:54:04:708 1500 Processor architecture: Intel x86
16:54:04:708 1500 Number of processors: 1
16:54:04:708 1500 Page size: 0x1000
16:54:04:718 1500 Boot type: Normal boot
16:54:04:718 1500 ================================================================================
16:54:04:718 1500 UnloadDriverW: NtUnloadDriver error 2
16:54:04:718 1500 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
16:54:04:818 1500 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
16:54:04:818 1500 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:54:04:818 1500 wfopen_ex: Trying to KLMD file open
16:54:04:818 1500 wfopen_ex: File opened ok (Flags 2)
16:54:04:818 1500 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
16:54:04:818 1500 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:54:04:818 1500 wfopen_ex: Trying to KLMD file open
16:54:04:818 1500 wfopen_ex: File opened ok (Flags 2)
16:54:04:818 1500 Initialize success
16:54:04:818 1500
16:54:04:818 1500 Scanning Services ...
16:54:05:419 1500 Raw services enum returned 366 services
16:54:05:429 1500
16:54:05:429 1500 Scanning Kernel memory ...
16:54:05:429 1500 Devices to scan: 2
16:54:05:429 1500
16:54:05:429 1500 Driver Name: Disk
16:54:05:429 1500 IRP_MJ_CREATE : F7873C30
16:54:05:429 1500 IRP_MJ_CREATE_NAMED_PIPE : 804FB8DE
16:54:05:429 1500 IRP_MJ_CLOSE : F7873C30
16:54:05:429 1500 IRP_MJ_READ : F786DD9B
16:54:05:429 1500 IRP_MJ_WRITE : F786DD9B
16:54:05:429 1500 IRP_MJ_QUERY_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_EA : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_EA : 804FB8DE
16:54:05:429 1500 IRP_MJ_FLUSH_BUFFERS : F786E366
16:54:05:429 1500 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_DIRECTORY_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_DEVICE_CONTROL : F786E44D
16:54:05:429 1500 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7871FC3
16:54:05:429 1500 IRP_MJ_SHUTDOWN : F786E366
16:54:05:429 1500 IRP_MJ_LOCK_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_CLEANUP : 804FB8DE
16:54:05:429 1500 IRP_MJ_CREATE_MAILSLOT : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_SECURITY : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_SECURITY : 804FB8DE
16:54:05:429 1500 IRP_MJ_POWER : F786FEF3
16:54:05:429 1500 IRP_MJ_SYSTEM_CONTROL : F7874A24
16:54:05:429 1500 IRP_MJ_DEVICE_CHANGE : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_QUOTA : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_QUOTA : 804FB8DE
16:54:05:439 1500 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
16:54:05:439 1500
16:54:05:439 1500 Driver Name: atapi
16:54:05:439 1500 IRP_MJ_CREATE : 86731618
16:54:05:439 1500 IRP_MJ_CREATE_NAMED_PIPE : 86731618
16:54:05:439 1500 IRP_MJ_CLOSE : 86731618
16:54:05:439 1500 IRP_MJ_READ : 86731618
16:54:05:439 1500 IRP_MJ_WRITE : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_SET_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_EA : 86731618
16:54:05:439 1500 IRP_MJ_SET_EA : 86731618
16:54:05:439 1500 IRP_MJ_FLUSH_BUFFERS : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_VOLUME_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_SET_VOLUME_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_DIRECTORY_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_FILE_SYSTEM_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_DEVICE_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_INTERNAL_DEVICE_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_SHUTDOWN : 86731618
16:54:05:449 1500 IRP_MJ_LOCK_CONTROL : 86731618
16:54:05:449 1500 IRP_MJ_CLEANUP : 86731618
16:54:05:449 1500 IRP_MJ_CREATE_MAILSLOT : 86731618
16:54:05:449 1500 IRP_MJ_QUERY_SECURITY : 86731618
16:54:05:449 1500 IRP_MJ_SET_SECURITY : 86731618
16:54:05:449 1500 IRP_MJ_POWER : 86731618
16:54:05:449 1500 IRP_MJ_SYSTEM_CONTROL : 86731618
16:54:05:449 1500 IRP_MJ_DEVICE_CHANGE : 86731618
16:54:05:449 1500 IRP_MJ_QUERY_QUOTA : 86731618
16:54:05:449 1500 IRP_MJ_SET_QUOTA : 86731618
16:54:05:449 1500 Driver "atapi" infected by TDSS rootkit!
16:54:05:449 1500 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
16:54:05:449 1500 File "C:\WINDOWS\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 16:54:05:449 1500 Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
16:54:05:449 1500 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
16:54:05:840 1500 vfvi6
16:54:05:930 1500 !dsvbh1
16:54:07:532 1500 dsvbh2
16:54:07:532 1500 fdfb2
16:54:07:532 1500 Backup copy found, using it..
16:54:07:592 1500 will be cured on next reboot
16:54:07:592 1500 Reboot required for cure complete..
16:54:07:602 1500 Cure on reboot scheduled successfully
16:54:07:602 1500
16:54:07:602 1500 Completed
16:54:07:602 1500
16:54:07:602 1500 Results:
16:54:07:602 1500 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
16:54:07:602 1500 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
16:54:07:602 1500 File objects infected / cured / cured on reboot: 1 / 0 / 1
16:54:07:602 1500
16:54:07:602 1500 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
16:54:07:602 1500 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
16:54:07:602 1500 UnloadDriverW: NtUnloadDriver error 1
16:54:07:602 1500 KLMD(ARK) unloaded successfully
______________________________________________________________
Voila et excuse-moi de répondre que maintenant j'espère que tu est toujours disponible à m'aider, merci encore.
une fois dans c:\windows\system32\drivers je ne trouve pas tqfpyhitjsh.sys, peut-être à-t-il été supprimé ?
et voici le log de TDSSKiller :
16:54:04:708 1500 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
16:54:04:708 1500 ================================================================================
16:54:04:708 1500 SystemInfo:
16:54:04:708 1500 OS Version: 5.1.2600 ServicePack: 2.0
16:54:04:708 1500 Product type: Workstation
16:54:04:708 1500 ComputerName: PC
16:54:04:708 1500 UserName: Administrateur
16:54:04:708 1500 Windows directory: C:\WINDOWS
16:54:04:708 1500 Processor architecture: Intel x86
16:54:04:708 1500 Number of processors: 1
16:54:04:708 1500 Page size: 0x1000
16:54:04:718 1500 Boot type: Normal boot
16:54:04:718 1500 ================================================================================
16:54:04:718 1500 UnloadDriverW: NtUnloadDriver error 2
16:54:04:718 1500 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
16:54:04:818 1500 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
16:54:04:818 1500 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:54:04:818 1500 wfopen_ex: Trying to KLMD file open
16:54:04:818 1500 wfopen_ex: File opened ok (Flags 2)
16:54:04:818 1500 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
16:54:04:818 1500 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
16:54:04:818 1500 wfopen_ex: Trying to KLMD file open
16:54:04:818 1500 wfopen_ex: File opened ok (Flags 2)
16:54:04:818 1500 Initialize success
16:54:04:818 1500
16:54:04:818 1500 Scanning Services ...
16:54:05:419 1500 Raw services enum returned 366 services
16:54:05:429 1500
16:54:05:429 1500 Scanning Kernel memory ...
16:54:05:429 1500 Devices to scan: 2
16:54:05:429 1500
16:54:05:429 1500 Driver Name: Disk
16:54:05:429 1500 IRP_MJ_CREATE : F7873C30
16:54:05:429 1500 IRP_MJ_CREATE_NAMED_PIPE : 804FB8DE
16:54:05:429 1500 IRP_MJ_CLOSE : F7873C30
16:54:05:429 1500 IRP_MJ_READ : F786DD9B
16:54:05:429 1500 IRP_MJ_WRITE : F786DD9B
16:54:05:429 1500 IRP_MJ_QUERY_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_EA : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_EA : 804FB8DE
16:54:05:429 1500 IRP_MJ_FLUSH_BUFFERS : F786E366
16:54:05:429 1500 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_VOLUME_INFORMATION : 804FB8DE
16:54:05:429 1500 IRP_MJ_DIRECTORY_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_FILE_SYSTEM_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_DEVICE_CONTROL : F786E44D
16:54:05:429 1500 IRP_MJ_INTERNAL_DEVICE_CONTROL : F7871FC3
16:54:05:429 1500 IRP_MJ_SHUTDOWN : F786E366
16:54:05:429 1500 IRP_MJ_LOCK_CONTROL : 804FB8DE
16:54:05:429 1500 IRP_MJ_CLEANUP : 804FB8DE
16:54:05:429 1500 IRP_MJ_CREATE_MAILSLOT : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_SECURITY : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_SECURITY : 804FB8DE
16:54:05:429 1500 IRP_MJ_POWER : F786FEF3
16:54:05:429 1500 IRP_MJ_SYSTEM_CONTROL : F7874A24
16:54:05:429 1500 IRP_MJ_DEVICE_CHANGE : 804FB8DE
16:54:05:429 1500 IRP_MJ_QUERY_QUOTA : 804FB8DE
16:54:05:429 1500 IRP_MJ_SET_QUOTA : 804FB8DE
16:54:05:439 1500 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
16:54:05:439 1500
16:54:05:439 1500 Driver Name: atapi
16:54:05:439 1500 IRP_MJ_CREATE : 86731618
16:54:05:439 1500 IRP_MJ_CREATE_NAMED_PIPE : 86731618
16:54:05:439 1500 IRP_MJ_CLOSE : 86731618
16:54:05:439 1500 IRP_MJ_READ : 86731618
16:54:05:439 1500 IRP_MJ_WRITE : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_SET_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_EA : 86731618
16:54:05:439 1500 IRP_MJ_SET_EA : 86731618
16:54:05:439 1500 IRP_MJ_FLUSH_BUFFERS : 86731618
16:54:05:439 1500 IRP_MJ_QUERY_VOLUME_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_SET_VOLUME_INFORMATION : 86731618
16:54:05:439 1500 IRP_MJ_DIRECTORY_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_FILE_SYSTEM_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_DEVICE_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_INTERNAL_DEVICE_CONTROL : 86731618
16:54:05:439 1500 IRP_MJ_SHUTDOWN : 86731618
16:54:05:449 1500 IRP_MJ_LOCK_CONTROL : 86731618
16:54:05:449 1500 IRP_MJ_CLEANUP : 86731618
16:54:05:449 1500 IRP_MJ_CREATE_MAILSLOT : 86731618
16:54:05:449 1500 IRP_MJ_QUERY_SECURITY : 86731618
16:54:05:449 1500 IRP_MJ_SET_SECURITY : 86731618
16:54:05:449 1500 IRP_MJ_POWER : 86731618
16:54:05:449 1500 IRP_MJ_SYSTEM_CONTROL : 86731618
16:54:05:449 1500 IRP_MJ_DEVICE_CHANGE : 86731618
16:54:05:449 1500 IRP_MJ_QUERY_QUOTA : 86731618
16:54:05:449 1500 IRP_MJ_SET_QUOTA : 86731618
16:54:05:449 1500 Driver "atapi" infected by TDSS rootkit!
16:54:05:449 1500 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
16:54:05:449 1500 File "C:\WINDOWS\system32\DRIVERS\atapi.sys" infected by TDSS rootkit ... 16:54:05:449 1500 Processing driver file: C:\WINDOWS\system32\DRIVERS\atapi.sys
16:54:05:449 1500 ProcessDirEnumEx: FindFirstFile(C:\WINDOWS\system32\DriverStore\FileRepository\*) error 3
16:54:05:840 1500 vfvi6
16:54:05:930 1500 !dsvbh1
16:54:07:532 1500 dsvbh2
16:54:07:532 1500 fdfb2
16:54:07:532 1500 Backup copy found, using it..
16:54:07:592 1500 will be cured on next reboot
16:54:07:592 1500 Reboot required for cure complete..
16:54:07:602 1500 Cure on reboot scheduled successfully
16:54:07:602 1500
16:54:07:602 1500 Completed
16:54:07:602 1500
16:54:07:602 1500 Results:
16:54:07:602 1500 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
16:54:07:602 1500 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
16:54:07:602 1500 File objects infected / cured / cured on reboot: 1 / 0 / 1
16:54:07:602 1500
16:54:07:602 1500 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
16:54:07:602 1500 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
16:54:07:602 1500 UnloadDriverW: NtUnloadDriver error 1
16:54:07:602 1500 KLMD(ARK) unloaded successfully
______________________________________________________________
Voila et excuse-moi de répondre que maintenant j'espère que tu est toujours disponible à m'aider, merci encore.
Mais oui! mais comme je suis du québec nous avons un décalage d'heures.
Faire ceci:
Télécharge The Avenger http://swandog46.geekstogo.com/avenger.zip
par Swandog46 sur ton Bureau
Faire un clique droit sur Avenger.zip pour extraire avenger.exe sur le bureau.
Copier/coller tout le texte ci-bas:
Drivers to disable:
tqfpyhitjsh
Drivers to delete:
tqfpyhitjsh
Files to delete:
c:\windows\system32\drivers\tqfpyhitjsh.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh
exécuter the avenger en cliquant sur avenger.exe et copier son contenu dans la fenêtre d'avenger
Décocher la case scan for Rootkits
Maintenant, lancer The Avenger en cliquant "The Avenger" va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
Faire ceci:
Télécharge The Avenger http://swandog46.geekstogo.com/avenger.zip
par Swandog46 sur ton Bureau
Faire un clique droit sur Avenger.zip pour extraire avenger.exe sur le bureau.
Copier/coller tout le texte ci-bas:
Drivers to disable:
tqfpyhitjsh
Drivers to delete:
tqfpyhitjsh
Files to delete:
c:\windows\system32\drivers\tqfpyhitjsh.sys
Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh
HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh
exécuter the avenger en cliquant sur avenger.exe et copier son contenu dans la fenêtre d'avenger
Décocher la case scan for Rootkits
Maintenant, lancer The Avenger en cliquant "The Avenger" va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse
Alors le rapport de Avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Error: could not open driver "tqfpyhitjsh"
Disablement of driver "tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\tqfpyhitjsh" not found!
Deletion of driver "tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\windows\system32\drivers\tqfpyhitjsh.sys" not found!
Deletion of file "c:\windows\system32\drivers\tqfpyhitjsh.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Error: could not open driver "tqfpyhitjsh"
Disablement of driver "tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\tqfpyhitjsh" not found!
Deletion of driver "tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\windows\system32\drivers\tqfpyhitjsh.sys" not found!
Deletion of file "c:\windows\system32\drivers\tqfpyhitjsh.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet002\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet003\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet004\Services\tqfpyhitjsh" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Par le temps cela peut-être changé il ne la pas vu.
Re-télécharger combofix pour avoir la dernière version et mettre un nouveau log.
Allez dans Explorateur Windows ou "Poste de travail" allez sur Outils - Options dossier - Affichage et cocher "afficher les dossiers et fichier cachés"et vérifier manuellement si le nom du fichier ci-haut est bien existant ?
Comment va la machine ?
Re-télécharger combofix pour avoir la dernière version et mettre un nouveau log.
Allez dans Explorateur Windows ou "Poste de travail" allez sur Outils - Options dossier - Affichage et cocher "afficher les dossiers et fichier cachés"et vérifier manuellement si le nom du fichier ci-haut est bien existant ?
Comment va la machine ?
Salut,
j'ai vérifié manuellement et le fichier est introuvable ! J'ai téléchargé la dernière version de ComboFix, voici le log :
ComboFix 10-04-04.01 - Administrateur 06/04/2010 0:05.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.503 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_PVJAHVFB
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-05 au 2010-04-05 ))))))))))))))))))))))))))))))))))))
.
2010-03-29 16:12 . 2009-11-21 16:42 470528 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-03-29 16:11 . 2009-10-23 14:27 3555328 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-28 22:38 . 2010-03-28 22:38 -------- d-----w- c:\program files\Google
2010-03-27 15:41 . 2010-03-23 14:56 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-03-27 15:41 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL
2010-03-27 15:41 . 2009-06-19 17:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-03-27 15:41 . 2010-03-27 16:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FreeFLVConverter
2010-03-27 15:41 . 2010-03-27 15:41 -------- d-----w- c:\program files\Free FLV Converter
2010-03-27 15:30 . 2004-06-02 12:19 45056 ----a-w- c:\windows\system32\MaXMLProto.dll
2010-03-27 15:30 . 2004-05-30 11:13 106609 ----a-w- c:\windows\system32\MaJUtilLib.dll
2010-03-27 15:30 . 2004-03-22 08:14 49152 ----a-r- c:\windows\system32\MaJGUILib.dll
2010-03-20 14:57 . 2010-03-25 23:55 -------- d-----w- C:\VundoFix Backups
2010-03-10 10:53 . 2010-03-10 10:53 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 10:53 . 2010-03-10 10:53 -------- d-----w- c:\program files\TrendMicro
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-10 09:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-05 22:13 . 2009-12-20 12:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2010-04-04 14:30 . 2009-12-21 19:42 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2010-03-30 14:56 . 2008-07-10 07:26 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-03-30 10:50 . 2003-04-24 19:00 85394 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-30 10:50 . 2003-04-24 19:00 510528 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-28 23:10 . 2009-01-30 20:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2010-03-27 17:15 . 2009-08-05 19:20 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
2010-03-27 17:09 . 2009-08-05 19:21 -------- d-----w- c:\program files\uTorrent
2010-03-20 19:04 . 2009-01-31 14:20 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-03-20 19:04 . 2009-01-31 14:07 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Symantec
2010-03-20 19:02 . 2009-01-31 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-01-17 15:21 . 2010-01-17 15:21 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-17 15:21 . 2009-11-23 17:31 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPQEASYACC"="c:\program files\Compaq\Easy Access Button Support\StartEAK.exe" [2001-10-10 28672]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2001-07-27 94208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2001-07-27 282624]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"HideClock"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wgvlxfkx]
[BU]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 23:42 108289]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [20/12/2009 14:17 4408616]
R2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [20/12/2009 14:18 112936]
R3 WLAN_400_500_SERVICE;HP WLAN W400/W500 Wireless Network Adapter Service;c:\windows\system32\drivers\ar5211.sys [10/07/2008 09:32 468768]
S1 EACMOS;EACMOS;c:\windows\system32\drivers\EACMOS.SYS --> c:\windows\system32\drivers\EACMOS.SYS [?]
S2 zlhuzhyxommahmg;zlhuzhyxommahmg;\??\c:\windows\system32\drivers\tqfpyhitjsh.sys --> c:\windows\system32\drivers\tqfpyhitjsh.sys [?]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [20/12/2009 14:17 15656]
.
Contenu du dossier 'Tâches planifiées'
2009-01-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{895D977C-00A3-4019-A3E7-ACAA476895B2} - (no file)
SafeBoot-klmdb.sys
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 00:15
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(196)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchUser.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\rundll32.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Compaq\Easy Access Button Support\CPQEADM.EXE
c:\compaq\EAKDRV\EAUSBKBD.EXE
c:\progra~1\Compaq\EASYAC~1\BttnServ.exe
c:\windows\system32\PSIService.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-04-06 00:19:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-05 22:19
ComboFix2.txt 2010-03-21 14:11
Avant-CF: 3 154 448 384 octets libres
Après-CF: 3 143 913 472 octets libres
- - End Of File - - 80758A581FFF187A5DE678C6C5D48857
__________________________________________________________________
En ce qui concerne mon ordinateur il se comporte beaucoup mieux qu'au départ, je ne reçoit plus de message d'alerte d'Avira AntiVir, est-il toujours infecté ?
Merci à vous !
j'ai vérifié manuellement et le fichier est introuvable ! J'ai téléchargé la dernière version de ComboFix, voici le log :
ComboFix 10-04-04.01 - Administrateur 06/04/2010 0:05.2.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1023.503 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_PVJAHVFB
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-05 au 2010-04-05 ))))))))))))))))))))))))))))))))))))
.
2010-03-29 16:12 . 2009-11-21 16:42 470528 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-03-29 16:11 . 2009-10-23 14:27 3555328 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-28 22:38 . 2010-03-28 22:38 -------- d-----w- c:\program files\Google
2010-03-27 15:41 . 2010-03-23 14:56 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-03-27 15:41 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL
2010-03-27 15:41 . 2009-06-19 17:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2010-03-27 15:41 . 2009-06-19 17:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-03-27 15:41 . 2010-03-27 16:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FreeFLVConverter
2010-03-27 15:41 . 2010-03-27 15:41 -------- d-----w- c:\program files\Free FLV Converter
2010-03-27 15:30 . 2004-06-02 12:19 45056 ----a-w- c:\windows\system32\MaXMLProto.dll
2010-03-27 15:30 . 2004-05-30 11:13 106609 ----a-w- c:\windows\system32\MaJUtilLib.dll
2010-03-27 15:30 . 2004-03-22 08:14 49152 ----a-r- c:\windows\system32\MaJGUILib.dll
2010-03-20 14:57 . 2010-03-25 23:55 -------- d-----w- C:\VundoFix Backups
2010-03-10 10:53 . 2010-03-10 10:53 388096 ----a-r- c:\documents and settings\Administrateur\Application Data\Microsoft\Installer\{0761C9A8-8F3A-4216-B4A7-B7AFBF24A24A}\HiJackThis.exe
2010-03-10 10:53 . 2010-03-10 10:53 -------- d-----w- c:\program files\TrendMicro
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-10 09:46 . 2010-03-10 09:46 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-10 09:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-05 22:13 . 2009-12-20 12:18 -------- d-----w- c:\documents and settings\Administrateur\Application Data\WTablet
2010-04-04 14:30 . 2009-12-21 19:42 -------- d-----w- c:\documents and settings\LocalService\Application Data\WTablet
2010-03-30 14:56 . 2008-07-10 07:26 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-03-30 10:50 . 2003-04-24 19:00 85394 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-30 10:50 . 2003-04-24 19:00 510528 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-28 23:10 . 2009-01-30 20:54 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2010-03-27 17:15 . 2009-08-05 19:20 -------- d-----w- c:\documents and settings\Administrateur\Application Data\uTorrent
2010-03-27 17:09 . 2009-08-05 19:21 -------- d-----w- c:\program files\uTorrent
2010-03-20 19:04 . 2009-01-31 14:20 -------- d-----w- c:\program files\Fichiers communs\Symantec Shared
2010-03-20 19:04 . 2009-01-31 14:07 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Symantec
2010-03-20 19:02 . 2009-01-31 14:24 -------- d-----w- c:\documents and settings\All Users\Application Data\Symantec
2010-01-17 15:21 . 2010-01-17 15:21 152576 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-01-17 15:21 . 2009-11-23 17:31 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogitechSoftwareUpdate"="c:\program files\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CPQEASYACC"="c:\program files\Compaq\Easy Access Button Support\StartEAK.exe" [2001-10-10 28672]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2001-07-27 94208]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2001-07-27 282624]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-19 88209]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-03-12 342312]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"LogitechVideoRepair"="c:\program files\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="c:\program files\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SMSTray"="c:\program files\Samsung\EmoDio\SMSTray.exe" [2009-04-16 479232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"HideClock"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wgvlxfkx]
[BU]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Ares\\Ares.exe"=
R2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [16/09/2008 13:03 169312]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [24/12/2009 23:42 108289]
R2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [20/12/2009 14:17 4408616]
R2 WTouchService;WTouch Service;c:\program files\WTouch\WTouchService.exe [20/12/2009 14:18 112936]
R3 WLAN_400_500_SERVICE;HP WLAN W400/W500 Wireless Network Adapter Service;c:\windows\system32\drivers\ar5211.sys [10/07/2008 09:32 468768]
S1 EACMOS;EACMOS;c:\windows\system32\drivers\EACMOS.SYS --> c:\windows\system32\drivers\EACMOS.SYS [?]
S2 zlhuzhyxommahmg;zlhuzhyxommahmg;\??\c:\windows\system32\drivers\tqfpyhitjsh.sys --> c:\windows\system32\drivers\tqfpyhitjsh.sys [?]
S3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\drivers\wacmoumonitor.sys [20/12/2009 14:17 15656]
.
Contenu du dossier 'Tâches planifiées'
2009-01-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\vgxblyrh.default\
FF - prefs.js: browser.startup.homepage - www.google.fr
FF - plugin: c:\program files\DivX\DivX Plus Web Player\npdivx32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -
BHO-{895D977C-00A3-4019-A3E7-ACAA476895B2} - (no file)
SafeBoot-klmdb.sys
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-06 00:15
Windows 5.1.2600 Service Pack 2 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ccEvtMgr]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SAVRT]
"ImagePath"="-"
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SNDSrvc]
"ImagePath"="-"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(196)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\WTouch\WTouchUser.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\rundll32.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Compaq\Easy Access Button Support\CPQEADM.EXE
c:\compaq\EAKDRV\EAUSBKBD.EXE
c:\progra~1\Compaq\EASYAC~1\BttnServ.exe
c:\windows\system32\PSIService.exe
c:\program files\Logitech\Video\FxSvr2.exe
c:\program files\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\system32\WTablet\Pen_TabletUser.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\program files\Java\jre6\bin\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-04-06 00:19:06 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-04-05 22:19
ComboFix2.txt 2010-03-21 14:11
Avant-CF: 3 154 448 384 octets libres
Après-CF: 3 143 913 472 octets libres
- - End Of File - - 80758A581FFF187A5DE678C6C5D48857
__________________________________________________________________
En ce qui concerne mon ordinateur il se comporte beaucoup mieux qu'au départ, je ne reçoit plus de message d'alerte d'Avira AntiVir, est-il toujours infecté ?
Merci à vous !
Salut g225,
je te pris de m'excuser sincèrement de te répondre que maintenant, je n'ai pas eu vraiment le temps de m'occuper de mon problème, enfin ça n'est plus un problème vu que mon ordinateur marche parfaitement à cette heure ci, et je te remercie énormement au passage !
Je n'ai pas encore effectué ce que tu ma demandé de faire dernièrement mais ça ne va pas tarder. Cependant j'ai reçu plusieurs mail disant de selectionner la "meilleur réponse", je le fait de suite en espérant que cela puisse t'être utile.
Voila et encore merci pour ton aide![:)]( ":)")
amicalement pablococo
je te pris de m'excuser sincèrement de te répondre que maintenant, je n'ai pas eu vraiment le temps de m'occuper de mon problème, enfin ça n'est plus un problème vu que mon ordinateur marche parfaitement à cette heure ci, et je te remercie énormement au passage !
Je n'ai pas encore effectué ce que tu ma demandé de faire dernièrement mais ça ne va pas tarder. Cependant j'ai reçu plusieurs mail disant de selectionner la "meilleur réponse", je le fait de suite en espérant que cela puisse t'être utile.
Voila et encore merci pour ton aide
amicalement pablococo
Lassé par la pub ? Créez un compte
