Bagle Battle

S'inscrire | Se connecter

> Tous les forums > Forum Sécurité

Bagle Battle Sujet résolu

Ajouter un message à la discussion

Pages : [1] 2 ... Fin

Page 1 sur 2 [Fin]

Suivante >

dtylerdurden

Posté le 26/05/2009 @ 18:01

Petit astucien

Bonjour à toutes et tous,

je recherche une solution pour me débarrasser d'un vilain pas beau virus qui m'a éliminé Avast et me crée bien des soucis. J'ai donc suivi la procédure ELIBAGLA, plusieurs fois, je vous soumets de ce pas mon rapport:

(26-5-2009 15:1:44)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.

(26-5-2009 15:2:32)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(26-5-2009 15:2:49)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4098
Nº Total de Ficheros: 43793
Nº de Ficheros Analizados: 5860
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(26-5-2009 15:18:41)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"
Reinicie para Completar la Limpieza.

(26-5-2009 15:23:12)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

(26-5-2009 15:27:27)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

(26-5-2009 15:27:34)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 4098
Nº Total de Ficheros: 43807
Nº de Ficheros Analizados: 5872
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(26-5-2009 15:36:35)
EliBagle v12.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\MDELK.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\WINUPGRO.EXE.Muestra EliBagle v12.58
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\DRIVERS\WINUPGRO.EXE --> Bagle Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\FLEC006.EXE --> Bagle.dldr Acceso Denegado.
C:\DOCUMENTS AND SETTINGS\ADMINISTRATEUR\APPLICATION DATA\M\LIST.OCT --> Eliminado Bagle
Reinicie para Completar la Limpieza.

-> par ailleurs, un onglet avec des caractères étranges et inconnus (Grecs ou Russes ou les deux même !!!) apparait au démarrage de Windows. Si je la ferme, le PC redémarre...

Sachez aussi que mon PC n'a pas pu installer correctement ANTIVIR (qui était conseillé dans un autre sujet) et qu'Hijackthis (qui m'avait déjà été bien utile sur un autre forum il y a quelques années) ne veut pas démarrer (toujours le xxx.exe n'est pas un fichier Win32 valide).

Et j'ai bien évidemment tenté plusieurs fois de restaurer le système (peine perdue) avant de me rendre compte que le sujet était grave...

J'espère qu'un âme charitable saura me guider vers la Lumière afin de retrouver un PC en meilleure forme . Merci d'avance

nardino

Posté le 26/05/2009 à 18:07

Grand Maître astucien

Bonsoir.

Conséquence du téléchargement ds'un crack qu'il faut commencer par suppirmmer avant tout.

Télécharge FindyKill de Chiquitine :

Installes-le avec les paramètres par défaut.
Sous Vista il faut le faire avec l'élévation des privilèges par clic droit sur FindyKill.exe et Exécuter en tant qu'administrateur.

Raccorde tes sources de données comme clé USB ou disque externe.
Supprime tous les fichiers crackés des différents supports.

Double-clique sur le raccourci créé sur le bureau :

1-Détection

Dans le menu principal, tape 1 où le curseur clignote pour lancer la recherche de fichiers infectieux.
Laisse le scan se faire sans utiliser d'autres applications.
Quand cela te sera demandé, clique sur une touche pour afficher le rapport.
Il sera enregistré à la racine du système : C:\FindyKill.txt

Poste un copier-coller de ce rapport.

dtylerdurden

Posté le 26/05/2009 à 18:15

Petit astucien

Merci beaucoup, je m'y essaie et poste les conclusions des manipulations ;)

dtylerdurden

Posté le 26/05/2009 à 18:18

Petit astucien

############################## [ FindyKill V4.730 ]

# User : Administrateur (Administrateurs) # 90849749460147A
# Update on 25/05/09 by Chiquitine29
# Start at: 18:17:02 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Celeron(R) CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (99,8 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque amovible # 3,72 Go (2,06 Go free) # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Processus infectieux stoppés ]

"C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe" (756)
"C:\WINDOWS\system32\wintems.exe" (608)
"C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe" (236)

################## [ Fichiers / Dossiers infectieux ]

Found ! C:\WINDOWS\system32\ban_list.txt
Found ! C:\WINDOWS\system32\mdelk.exe
Found ! C:\WINDOWS\system32\wintems.exe
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Found ! "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\data.oct"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\list.oct"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\shared"
Found ! "C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct"

################## [ Infected Temp Files ]

Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\690RJ3NZ\servernames[1].htm
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8K2Z19CD\mxd[1].jpg
Found ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EIPLVY80\file[1].txt

################## [ Registre / Clés infectieuses ]

Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\bisoft
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\DateTime4
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\MuleAppData
Found ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Found ! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Found ! HKEY_CURRENT_USER\Software\bisoft
Found ! HKEY_CURRENT_USER\Software\DateTime4
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Found ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"
Found ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

# (!) HKLM\SYSTEM\...\Services\srosa -> Start = 0x1
# (!) HKLM\SYSTEM\...\Services\sK9Ou0s -> Start = 0x1

################## [ Recherche dans supports amovibles]

Found ! C:\InfoSat.txt

################## [ Registre / Mountpoints2 ]

# -> Not found !

################## [ ! Fin du rapport # FindyKill V4.730 ! ]

nardino

Posté le 26/05/2009 à 18:39

Grand Maître astucien

Bonsoir.

Suite.

2-Suppression

Relance FindyKill.
Dans le menu choisis l'option 2, cela va occasionner deux redémarrages de l'ordinateur.

Poste le nouveau rapport établi par l'outil avec un rapport Hijackthis.

dtylerdurden

Posté le 26/05/2009 à 19:02

Petit astucien

Merci merci de t'occuper de mon cas pas encore désespéré et pas tout à fait désespérant. Dans un premier temps, voici le rapport FindyKill, Hijackthis est en cours de scan:

############################## [ FindyKill V4.730 ]

# User : Administrateur (Administrateurs) # 90849749460147A
# Update on 25/05/09 by Chiquitine29
# Start at: 18:44:37 | 26/05/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# Intel(R) Celeron(R) CPU 2.40GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 232,88 Go (99,8 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible
# F:\ # Disque amovible # 3,72 Go (2,06 Go free) # FAT32

############################## [ Active Processes ]

################## [ Infected Files \ Folders ]

Deleted ! C:\WINDOWS\system32\ban_list.txt
Deleted ! C:\WINDOWS\system32\mdelk.exe
Deleted ! C:\WINDOWS\system32\wintems.exe
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\wfsintwq.sys"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\data.oct"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\flec006.exe"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\list.oct"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\srvlist.oct"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers\downld"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\drivers"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m\shared"
Deleted ! "C:\Documents and Settings\Administrateur\Application Data\m"

################## [ Infected Temp Files ]

Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\690RJ3NZ\servernames[1].htm
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\8K2Z19CD\mxd[1].jpg
Deleted ! C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\EIPLVY80\file[1].txt

################## [ Registry / Infected keys ]

Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\srosa
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SROSA
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sK9Ou0s
Deleted ! HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S
Deleted ! HKEY_CURRENT_USER\Software\bisoft
Deleted ! HKEY_CURRENT_USER\Software\DateTime4
Deleted ! HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winupgro
Deleted ! HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\MuleAppData
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"drvsyskit"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"german.exe"
Deleted ! HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\"mule_st_key"

################## [ Cleaning Removable drives ]

Deleted ! C:\InfoSat.txt
Deleted ! C:\Muestras

################## [ Registry / Mountpoint2 ]

# -> Not found !

################## [ States / Restarting of services ]

# Services : [ Auto=2 / Request=3 / Disable=4 ]

# Ndisuio -> # Type of startup =3
# EapHost -> # Type of startup =2
# Ip6Fw -> # Type of startup =2
# SharedAccess -> # Type of startup =2
# wuauserv -> # Type of startup =2
# wscsvc -> # Type of startup =2

################## [ Searching Other Infections ]

# Références de comparaison Bagle MD5 :

File ... : C:\Documents and Settings\Administrateur\Application Data\drivers\winupgro.exe
CRC32 .. : 08f4e291
MD5 .... : d3dd0655727e061ad8746edeae7a5d8a

Deleted ! : C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
# Taille : 864256 # MD5 : D3DD0655727E061AD8746EDEAE7A5D8A

################## [ Corrupted files # Re-Installation required ]

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

################################### [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! End of Report # FindyKill V4.730 ! ]

dtylerdurden

Posté le 26/05/2009 à 19:29

Petit astucien

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:08:53, on 26/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\HPHipm09.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\WINDOWS\System32\regsvr32.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Documents and Settings\Administrateur\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: run=
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: adsoftinc - {a0136a8e-b292-e9c0-c77d-2b24181d52c3} - C:\WINDOWS\system32\nst13.dll
O2 - BHO: adsoftinc browser enhancer - {A06B45AC-2D83-C202-9DBB-5DB63A39A3CB} - C:\WINDOWS\system32\yaoeglkzcuvgusuxl.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [uwmqcjfnoavhxbb] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\yaoeglkzcuvgusuxl.dll"
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Startup: runit_32.lnk = C:\Program Files\runit\runit_32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O15 - Trusted Zone: http://classic.prizee.com
O15 - Trusted Zone: http://www.prizee.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8538 bytes

nardino

Posté le 26/05/2009 à 19:52

Grand Maître astucien

Bonsoir.

Ta version de Windows n'est pas officielle.

Ausi je termine cette désinfection mais tu assumes les responsabilités d'un problème d'instabilité quelconque.

Tu peux désinstaller Findykill par Ajout Suppression des programmes.

Et comme une infection de ce type n'arrive jamais seule...

Télécharge Toolbar-S&D de Eric_71
Sur ton bureau, impératif.

Recherche

Double clique sur le fichier ToolBar SD.exe, avec élévation des privilèges sous Vista.
http://i45.servimg.com/u/f45/11/05/93/83/tb110.jpg
Coche la case "Je suis d'accord...ci-dessus", accepter la création du répertoire par Oui, puis Suivant et Quitter
Une icône sera crée sur le bureau ToolBar SD
http://i45.servimg.com/u/f45/11/05/93/83/tb210.jpg
Sous Vista, faire un clic droit et Exécuter en tant qu'administrateur (Elévation des privilèges.), puis Continuer.
Dans la fenêtre DOS bleue, Tape F, puis Entrer.
Ensuite tape 1 et Entrer.
Le système va redémarrer et le scan prendra quelques minutes.
Une fois terminé un rapport TB.txt va s'ouvrir.
Tu cliques dessus et tu fais :
CTRL+A pour tout sélectionner
CTRL+C pour tout mettre dans le presse-papier
Tu ouvres une réponse sur le forum et tu fais :
CTRL+V pour coller le rapport dans cette réponse.
Tu fermes le rapport sur ton bureau et tu attends les résultats de l'analyse.
Ce rapport sera enregistré à la racine du système : C:\TB.txt

Télécharge et installe Malwarebyte's Anti-Malware de RubbeR DuckY

A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée. Clique sur "Terminer"
Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur le bureau.
Au premier lancement, une fenêtre t'annonce que la version est Free, clique sur OK.
Laisse les Mises à jour se télécharger et referme le programme.

Lance Malwarebyte's Anti-Malware.
Dans l'onglet "Recherche", coche Exécuter un examen complet et Rechercher.
Sélectionne ton disque dur et clique sur Lancer l'examen.

A la fin du scan, sélectionne tout et clique sur Supprimer la sélection.
Poste le rapport avec un nouveau Hijackthiset le rapport Toolbar.
Il se trouve dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.
https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm">Le tutoriel Malwarebytes de PCA

Modifié par nardino le 26/05/2009 19:54

dtylerdurden

Posté le 26/05/2009 à 20:09

Petit astucien

Je ne peux rien te cacher concernant la version de Windows, ni l'origine de mon souci (crack à la c** téléchargé...) et j'assume pleinement tout souci ultérieur en espérant juste que tu ne sois pas du Ministère de l'Intérieur...

En tout cas je te remercie de ta rapidité et de ton aide très très très très précieuse.

dtylerdurden

Posté le 26/05/2009 à 20:13

Petit astucien

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.40GHz )
BIOS : Award Modular BIOS v6.0
USER : Administrateur ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:232 Go (Free:100 Go)
D:\ (CD or DVD)
E:\ (USB) - FAT - Total:15 Mo (Free:0 Go)
F:\ (USB) - FAT32 - Total:3812 Mo (Free:2 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 26/05/2009|20:12 )

-----------\\ Recherche de Fichiers / Dossiers ...

C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.js
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\CONTENT\searchsettingsplugin.xul
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.dtd
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US\searchsettingsplugin.properties
C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com\COMPONENTS\SearchSettingsFF.dll
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128\temp
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128\temp\ws-14387.log
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128\temp\ws-14388.log
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128\temp\ws-14389.log
C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128\temp\ws-14390.log
C:\WINDOWS\iun6002.exe

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.aol.fr/"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

C:\DOCUME~1\ADMINI~1\Mes documents\DL\Pinnacle Studio Ultimate v12 Full Keygen- Mult.rar
C:\DOCUME~1\ADMINI~1\Mes documents\DL\Jeux\crack_fm_2009
C:\DOCUME~1\ADMINI~1\Mes documents\DL\Jeux\crack_fm_2009\2008
C:\DOCUME~1\ADMINI~1\Mes documents\DL\Jeux\crack_fm_2009\Patch 9.1.0.exe
C:\DOCUME~1\ADMINI~1\Mes documents\DL\Jeux\crack_fm_2009\2008\fm.exe
C:\DOCUME~1\ADMINI~1\Mes documents\DL\Nero 8 Ultra Edition 8.3.2.1 Multilingue\Nero 8 Ultra Edition 8.3.2.1 multilingue\Keygen.exe
C:\DOCUME~1\ADMINI~1\Mes documents\DL\[SoftWare] Pinnacle Studio 9\Pinnacle Studio 9 Keygen
C:\DOCUME~1\ADMINI~1\Mes documents\DL\[SoftWare] Pinnacle Studio 9\Hollywood FX 5.1\FX 5.1\keygen.exe
C:\DOCUME~1\ADMINI~1\Mes documents\DL\[SoftWare] Pinnacle Studio 9\Pinnacle Studio 9 Keygen\keygen.exe
C:\DOCUME~1\ADMINI~1\Mes documents\DL\[SoftWare] Pinnacle Studio 9\Pinnacle Studio 9 Keygen\tda.nfo

1 - "C:\ToolBar SD\TB_1.txt" - 26/05/2009|20:13 - Option : [1]

-----------\\ Fin du rapport a 20:13:09,23

nardino

Posté le 26/05/2009 à 20:26

Grand Maître astucien

Bonsoir.

Il est donc inutile d'aller plus loin si tu ne vires pas tous ces cracks.

Relance Toolbar-S&D en double-cliquant sur le raccourci.
Tape sur "2" puis valide en appuyant sur "Entrée".
Ne ferme pas la fenêtre lors de la suppression.

Un nouveau rapport sera généré, poste son contenu ici.

NOTE : Si ton Bureau ne réapparait pas, appuie simultanément sur Ctrl+Alt+Suppr pour ouvrir le Gestionnaire des tâches.
Rends-toi sur l'onglet "Processus". Clique en haut à gauche sur Fichier et choisis "Exécuter..."
Tape explorer puis valide.

N'oublie pas les rapports MBAM et un nouveau Hijackthis après ces deux manips.

dtylerdurden

Posté le 26/05/2009 à 20:34

Petit astucien

Ok d'acc, j'étais en plein scan Malware...

dtylerdurden

Posté le 26/05/2009 à 20:39

Petit astucien

-----------\\ ToolBar S&D 1.2.8 XP/Vista

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 26/05/2009|20:36 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\Mozilla Firefox\extensions\search@searchsettings.com
Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings\kb128
Supprime! - C:\WINDOWS\iun6002.exe
Supprime! - C:\DOCUME~1\ADMINI~1\APPLIC~1\Search Settings

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.aol.fr/"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

--------------------\\ Recherche d'autres infections

--------------------\\ Cracks & Keygens ..

1 - "C:\ToolBar SD\TB_1.txt" - 26/05/2009|20:13 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 26/05/2009|20:38 - Option : [2]

-----------\\ Fin du rapport a 20:38:30,26

dtylerdurden

Posté le 26/05/2009 à 20:42

Petit astucien

MBAM en est à deux fichiers infectés pour le moment

dtylerdurden

Posté le 26/05/2009 à 20:54

Petit astucien

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

26/05/2009 20:52:51
mbam-log-2009-05-26 (20-52-45).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 124342
Temps écoulé: 25 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 39

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1bd34c41-58d9-9af2-b1c9-41e7ed655a78 (Adware.Adrotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eqhufwtuokihhwd (Adware.Adrotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\runit (Adware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\runit (Adware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a0136a8e-b292-e9c0-c77d-2b24181d52c3} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a0136a8e-b292-e9c0-c77d-2b24181d52c3} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a06b45ac-2d83-c202-9dbb-5db63a39a3cb} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a06b45ac-2d83-c202-9dbb-5db63a39a3cb} (Adware.BHO) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uwmqcjfnoavhxbb (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\runit (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\IEToolbar\ECO Bar\ecobar.dll (Adware.BHO) -> No action taken.
C:\Program Files\runit\runit_32.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP767\A0078300.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP767\A0078301.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP730\A0076050.dll (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP777\A0080479.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP777\A0080522.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP778\A0080596.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP779\A0080604.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP780\A0080668.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP781\A0080732.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP781\A0080783.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP782\A0080829.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0080899.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0080938.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0081087.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0081100.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP784\A0081107.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP785\A0081146.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP786\A0081181.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP787\A0081216.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081251.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081279.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081336.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP789\A0081390.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP789\A0081424.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081687.exe (Trojan.Packed) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081672.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081684.sys (Rootkit.Bagle) -> No action taken.
C:\WINDOWS\pn8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\hw5305.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\ykgee3362.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\1bd34c41-58d9-9af2-b1c9-41e7ed655a78.exe (Adware.Adrotator) -> No action taken.
C:\WINDOWS\system32\eqhufwtuokihhwd.exe (Adware.Adrotator) -> No action taken.
C:\Program Files\runit\config.txt (Trojan.Agent) -> No action taken.
C:\Program Files\runit\runitu_32.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Mozilla Firefox\components\71d5e5d1-6f4c-8f7e-5b84-20c95c57e04e.dll (Adware.Yoog) -> No action taken.
C:\WINDOWS\system32\yaoeglkzcuvgusuxl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\nst13.dll (Adware.BHO) -> No action taken.

dtylerdurden

Posté le 26/05/2009 à 20:58

Petit astucien

j'ai viré tous les cracks et keygen présents.

dtylerdurden

Posté le 26/05/2009 à 21:02

Petit astucien

Nouveau rapport TBSD post-suppression

-----------\\ ToolBar S&D 1.2.8 XP/Vista

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Celeron(R) CPU 2.40GHz )
BIOS : Award Modular BIOS v6.0
USER : Administrateur ( Administrator )
BOOT : Normal boot
C:\ (Local Disk) - NTFS - Total:232 Go (Free:104 Go)
D:\ (CD or DVD)
E:\ (USB) - FAT - Total:15 Mo (Free:0 Go)
F:\ (USB) - FAT32 - Total:3812 Mo (Free:2 Go)

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [1] ( 26/05/2009|20:59 )

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.aol.fr/"
"Local Page"="C:\\WINDOWS\\system32\\blank.htm"

--------------------\\ Recherche d'autres infections

Aucune autre infection trouvée !

1 - "C:\ToolBar SD\TB_1.txt" - 26/05/2009|20:13 - Option : [1]
2 - "C:\ToolBar SD\TB_2.txt" - 26/05/2009|20:38 - Option : [2]
3 - "C:\ToolBar SD\TB_3.txt" - 26/05/2009|21:00 - Option : [1]

-----------\\ Fin du rapport a 21:00:52,93

dtylerdurden

Posté le 26/05/2009 à 21:18

Petit astucien

et donc, comme demandé, le dernier rapport hiJackThis.

encore merci de votre gentillesse:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:17:40, on 26/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Documents and Settings\Administrateur\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Startup: runit_32.lnk = C:\Program Files\runit\runit_32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O15 - Trusted Zone: http://classic.prizee.com
O15 - Trusted Zone: http://www.prizee.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7941 bytes

dtylerdurden

Posté le 26/05/2009 à 21:36

Petit astucien

j'aimerais avoir votre avis sur les antivirus gratuits. On m'a conseillé de remplacer Avast (dont j'étais assez satisfait) par Antivir. Pensez-vous que ce choix soit judicieux ?

nardino

Posté le 27/05/2009 à 00:48

Grand Maître astucien

Bonsoir.

Continuons.
Tu désinstalles C:\Program Files\pdfforge par Ajout/Suppression des programmes.

As-tu supprimé la sélection avec Malwarebytes'Antimalwares ?
Si oui poste le rapport.

Télécharge Yoog_Fix de Batch_Man sur le Bureau.

Recherche

Ferme navigateur et protections résidentes, (antivirus/antispyware le cas échéant)
Double-clique dessus et choisir l'option 1
Attend la fin du scan, un rapport va s'ouvrir.
Poste le dans la prochaine réponse.
Le rapport sera disponible ici : C:\Yoog_Fix.txt
Réactive tes protections.

Nettoyage

Ferme navigateur et protections résidentes, (antivirus/antispyware le cas échéant)
Relance Yoog_Fix et choisis l'option 2
Attends que la suppression se termine et appuies sur une touche, un rapport s'ouvre.
Poste le dans la prochaine réponse.
Le rapport sera disponible ici : C:\Yoog_Fix.txt
Réactive tes protections.

Et toujours un nouveau rapport Hijackthis pour contrôle.

Ton pc est un vrai bouillon de culture, mais comment pourrait-il en être autrement.

@+

dtylerdurden

Posté le 27/05/2009 à 07:04

Petit astucien

Bonjour,

je suis actuellement au travail et te remercie de prendre la peine de m'aider. Je ferai donc toutes les manips ce soir.

Encore merci et bonne journée.

dtylerdurden

Posté le 27/05/2009 à 17:12

Petit astucien

j'ai éliminé pdfforge et voici le dernier rapport connu Malware:

Malwarebytes' Anti-Malware 1.36
Version de la base de données: 2181
Windows 5.1.2600 Service Pack 3

26/05/2009 20:52:51
mbam-log-2009-05-26 (20-52-45).txt

Type de recherche: Examen complet (C:\|F:\|)
Eléments examinés: 124342
Temps écoulé: 25 minute(s), 36 second(s)

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uwmqcjfnoavhxbb (Trojan.Agent) -> No action taken.

Dossier(s) infecté(s):
C:\Program Files\runit (Trojan.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Program Files\IEToolbar\ECO Bar\ecobar.dll (Adware.BHO) -> No action taken.
C:\Program Files\runit\runit_32.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP767\A0078300.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP767\A0078301.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP730\A0076050.dll (Adware.BHO) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP777\A0080479.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP777\A0080522.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP778\A0080596.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP779\A0080604.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP780\A0080668.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP781\A0080732.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP781\A0080783.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP782\A0080829.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0080899.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0080938.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0081087.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP783\A0081100.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP784\A0081107.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP785\A0081146.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP786\A0081181.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP787\A0081216.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081251.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081279.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP788\A0081336.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP789\A0081390.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP789\A0081424.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081687.exe (Trojan.Packed) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081672.sys (Rootkit.Bagle) -> No action taken.
C:\System Volume Information\_restore{19239F17-AB64-430A-872A-5CCA0141B633}\RP790\A0081684.sys (Rootkit.Bagle) -> No action taken.
C:\WINDOWS\pn8.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\hw5305.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\ykgee3362.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\1bd34c41-58d9-9af2-b1c9-41e7ed655a78.exe (Adware.Adrotator) -> No action taken.
C:\WINDOWS\system32\eqhufwtuokihhwd.exe (Adware.Adrotator) -> No action taken.
C:\Program Files\runit\config.txt (Trojan.Agent) -> No action taken.
C:\Program Files\runit\runitu_32.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Mozilla Firefox\components\71d5e5d1-6f4c-8f7e-5b84-20c95c57e04e.dll (Adware.Yoog) -> No action taken.
C:\WINDOWS\system32\yaoeglkzcuvgusuxl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\nst13.dll (Adware.BHO) -> No action taken.

dtylerdurden

Posté le 27/05/2009 à 17:17

Petit astucien

Yoog_Fix 2.03 de Batch_Man
Debut a 17:14 le 27/05/2009
Internet Explorer 7.0.5730.13
UAC: OFF

Option [1] 2 Recherche

-------------[ Recherche ]-------------

FOUND - C:\Program Files\IEToolbar
FOUND - C:\Program Files\IEToolbar
FOUND - C:\Program Files\IEToolbar
FOUND - C:\Program Files\IEToolbar
FOUND - C:\Program Files\IEToolbar
FOUND - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\koodcu8p.default\searchplugins\Yoog Search.xml

FOUND - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{519A5E2E-C511-4708-90BD-B7BA594B9BD2}
FOUND - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{94C395C6-37C7-4DE2-B665-3923B302D15C}
FOUND - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
FOUND - [HKCU\Software\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
FOUND - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{519A5E2E-C511-4708-90BD-B7BA594B9BD2}
FOUND - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{94C395C6-37C7-4DE2-B665-3923B302D15C}
FOUND - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

FOUND - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaultenginename", "Yoog Search");
FOUND - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaulturl", "http://www9.yoog.com/search.php?q=");
FOUND - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.selectedEngine", "Yoog Search");
FOUND - user.js [Administrateur - koodcu8p.default] user_pref("keyword.URL", "http://www9.yoog.com/search.php?q=");
FOUND - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaultenginename", "Yoog Search");
FOUND - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaulturl", "http://www9.yoog.com/search.php?q=");
FOUND - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.selectedEngine", "Yoog Search");
FOUND - prefs.js [Administrateur - koodcu8p.default] user_pref("keyword.URL", "http://www9.yoog.com/search.php?q=");

-------------[ Suspects ]

-------------[ Autres infections ]

--------------[ Analyse complémentaire ]--------------

--------------[ Analyse de Firefox ]

Mozilla Firefox 3.0.1 (fr)
Répertoire d'installation: C:\Program Files\Mozilla Firefox
Path Configuration: C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\koodcu8p.default

[C:\Documents and Settings\Administrateur\..\prefs.js] browser.search.selectedEngine: Yoog Search
[C:\Documents and Settings\Administrateur\..\prefs.js] browser.search.defaultenginename: Yoog Search

--------[ Extensions Firefox ]

bkmrksync@nokia.com = C:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync\

--------[ Mozilla Plugins ]

[HKLM\SOFTWARE\MozillaPlugins]

Path = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
XPTPath = C:\WINDOWS\system32\Macromed\Flash\flashplayer.xpt
ProductName = Adobe® Flash® Player Plugin
Vendor = Adobe Systems Incorporated
Version = 9.0.115.0

GeckoVersion = 1.7.5
Path = c:\Program Files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
ProductName = Ag Player
Vendor = Microsoft
Version = 2.0

Path = C:\Program Files\Microsoft\Office Live\npOLW.dll
Version = 1.3

Vendor = Microsoft
ProductName = Microsoft Office Live Plug-in for Firefox
Path = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll
GeckoVersion = 1.0
ProductName = Windows Live Photo Gallery
Version = 14.0.8064.0206

Vendor = Microsoft
Path = C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
XPTPath = C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.xpt
ProductName = Viewpoint Media Player
Vendor = Viewpoint Corporation
[HKCU\SOFTWARE\MozillaPlugins]

--------[ Plugins de recherche ]

[Program Files] amazon-france.xml = http://www.amazon.fr/
[Program Files] eBay-france.xml = http://search.ebay.fr/
[Program Files] google.xml = http://www.google.com/firefox
[Program Files] MediaDICO-fr.xml = http://www.dictionnaire-mediadico.com/dictionnaires.asp
[Program Files] wikipedia-fr.xml = http://fr.wikipedia.org/wiki/Special:Recherche
[Program Files] yahoo-france.xml = http://fr.search.yahoo.com/
[Program Files] yahoo.xml = ShortName

--------[ Listing de dossiers ]

[03/07/2008 04:56 | --a------ | 23040 bytes] C:\Program Files\Mozilla Firefox\Components\browserdirprovider.dll
[03/07/2008 04:56 | --a------ | 134144 bytes] C:\Program Files\Mozilla Firefox\Components\brwsrcmp.dll
[10/04/2007 18:21 | --a------ | 163256 bytes] C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
[03/07/2008 04:56 | --a------ | 65536 bytes] C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
[26/10/2006 21:12 | --a------ | 16192 bytes] C:\Program Files\Mozilla Firefox\plugins\NPOFF12.DLL

--------------[ Analyse du Registre ]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.msn.com/
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: http://go.microsoft.com/fwlink/?LinkId=54896
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.aol.fr/
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: http://go.microsoft.com/fwlink/?LinkId=54896

--------[ Browser Helper Object ]

BHO: {5C255C8A-E604-49b4-9D64-90988571CECB},@SANS NOM=3.0
BHO: {6EBF7485-159F-4bff-A14F-B9E3AAC4465B},@SANS NOM=3.0
BHO: {6EBF7485-159F-4bff-A14F-B9E3AAC4465B},@SANS NOM=Search Helper
BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6},@SANS NOM=3.0
BHO: {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10},@SANS NOM=3.0

--------[ SearchScopes ]

[HKEY_USERS\.DEFAULT\..\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKEY_USERS\S-1-5-19\..\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKEY_USERS\S-1-5-20\..\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKEY_USERS\S-1-5-18\..\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKEY_USERS\.DEFAULT\..\SearchScopes\{21FABF8D-0860-4651-A63D-456843CF5890}],@DisplayName=Google
[HKEY_USERS\S-1-5-19\..\SearchScopes\{21FABF8D-0860-4651-A63D-456843CF5890}],@DisplayName=Google
[HKEY_USERS\S-1-5-20\..\SearchScopes\{21FABF8D-0860-4651-A63D-456843CF5890}],@DisplayName=Google
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{519A5E2E-C511-4708-90BD-B7BA594B9BD2}],@DisplayName=Yoog Search
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{652E1BA5-3C28-418F-BBBE-62A7425DAA6F}],@DisplayName=Live Search Powered by Kiwee
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{81FCAAD5-58C0-434F-B80E-89D948B76080}],@DisplayName=Live Search Powered by Kiwee
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{94C395C6-37C7-4DE2-B665-3923B302D15C}],@DisplayName=Yoog Search
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{BDAB20AA-4977-4F97-BBA4-13A890173192}],@DisplayName=Google
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{CF522674-8764-4CF8-A1A6-50E6C87E1F6F}],@DisplayName=Live Search Powered by Kiwee
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}],@DisplayName=Yoog Search
[HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\..\SearchScopes\{E559EB54-3E42-40CB-9121-AD0993536E49}],@DisplayName=Yahoo! Search
[HKEY_USERS\S-1-5-18\..\SearchScopes\{21FABF8D-0860-4651-A63D-456843CF5890}],@DisplayName=Google
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={CFBFAE00-17A6-11D0-99CB-00C04FD64497}
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=@ieframe.dll,-12512
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{519A5E2E-C511-4708-90BD-B7BA594B9BD2}],@DisplayName=Yoog Search
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{652E1BA5-3C28-418F-BBBE-62A7425DAA6F}],@DisplayName=Live Search Powered by Kiwee
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{81FCAAD5-58C0-434F-B80E-89D948B76080}],@DisplayName=Live Search Powered by Kiwee
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{94C395C6-37C7-4DE2-B665-3923B302D15C}],@DisplayName=Yoog Search
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BDAB20AA-4977-4F97-BBA4-13A890173192}],@DisplayName=Google
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CF522674-8764-4CF8-A1A6-50E6C87E1F6F}],@DisplayName=Live Search Powered by Kiwee
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}],@DisplayName=Yoog Search
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E559EB54-3E42-40CB-9121-AD0993536E49}],@DisplayName=Yahoo! Search

--------[ Extensions ]

@xpsp3res.dll,-20001 : %windir%\Network Diagnostic\xpnetdiag.exe - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16}
Messenger : C:\Program Files\Messenger\MSMSGS.EXE - {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}

--------[ Clé RUN ]

--------[ Tâches planifiées ]

--------------[ Fin à 17h 16min ]

dtylerdurden

Posté le 27/05/2009 à 17:21

Petit astucien

Yoog_Fix 2.03 de Batch_Man
Debut a 17:18 le 27/05/2009
Internet Explorer 7.0.5730.13
UAC: OFF

Option 1 [2] Suppression

--------------[ Suppression ]--------------

+-------------[ Fichiers / Dossiers ]

DELETED - C:\Program Files\IEToolbar
DELETED - C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\koodcu8p.default\searchplugins\Yoog Search.xml

+-------------[ Registre ]

DELETED - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{519A5E2E-C511-4708-90BD-B7BA594B9BD2}
DELETED - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{94C395C6-37C7-4DE2-B665-3923B302D15C}
DELETED - HKEY_USERS\S-1-5-21-2000478354-1547161642-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes\{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

+-------------[ Préférences Firefox ]

DELETED - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaultenginename", "Yoog Search");
DELETED - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaulturl", "http://www9.yoog.com/search.php?q=");
DELETED - prefs.js [Administrateur - koodcu8p.default] user_pref("browser.search.selectedEngine", "Yoog Search");
DELETED - prefs.js [Administrateur - koodcu8p.default] user_pref("keyword.URL", "http://www9.yoog.com/search.php?q=");
DELETED - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaultenginename", "Yoog Search");
DELETED - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.defaulturl", "http://www9.yoog.com/search.php?q=");
DELETED - user.js [Administrateur - koodcu8p.default] user_pref("browser.search.selectedEngine", "Yoog Search");
DELETED - user.js [Administrateur - koodcu8p.default] user_pref("keyword.URL", "http://www9.yoog.com/search.php?q=");

+--------------[ Fichiers temporaires ]

Fichiers temporaires vidés

+--------------[ Fin à 17h 19min ]

dtylerdurden

Posté le 27/05/2009 à 17:27

Petit astucien

Rapport HiJackThis

encore merci ;)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:26:50, on 27/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Administrateur\Mes documents\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Ultimate Edition
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O1 - Hosts: ;Tag&rename
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [Netlog Music Tool] "C:\Program Files\Netlog Music Tool\NetlogMusicTool.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [TaskSwitchXP] C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: MSN Pictures Displayer.lnk = C:\Program Files\MSN Pictures Displayer\MSN Pictures Displayer.exe
O4 - Startup: runit_32.lnk = C:\Program Files\runit\runit_32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.google.fr
O15 - Trusted Zone: http://classic.prizee.com
O15 - Trusted Zone: http://www.prizee.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (file missing)
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7689 bytes

nardino

Posté le 27/05/2009 à 18:26

Grand Maître astucien

Bonsoir,

Lance Hijackthis par Do a system scan only, sans autre application lancée.
Coche les lignes suivantes :

R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=
O1 - Hosts: ;Tag&rename
O4 - Startup: runit_32.lnk = C:\Program Files\runit\runit_32.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
O15 - Trusted Zone: http://classic.prizee.com
O15 - Trusted Zone: http://www.prizee.com
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

Clique sur Fix checked et referme le programme.

Supprime ce dossier :
C:\Program Files\runit

Redémarre et poste un log Hijackthis.

Pages : [1] 2 ... Fin

Page 1 sur 2 [Fin]

Suivante >

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !

Recevoir PC Astuces par e-mail

Les bons plans du moment PC Astuces

Tous les Bons Plans

774,99 €

Acer Predator (15,6 pouces IPS 144 Hz, Core i5, 8Go RAM, 256 Go, RTX 2060) à 774,99 € (code 25EUROS)
Valable jusqu'au 04 Mars

Cdiscount fait une belle vente flash sur l'ordinateur portable Acer Predator PH315-52-51X2 qui passe à 974,99 € avec le code 25EUROS. Or Acer rembourse actuellement 200 € pour l'achat de ce portable qui vous reviendra à 774,99 € après remboursement.

Ce portable dédié aux joueurs dispose d'un écran 15,6 pouces IPS FHD 1920 x 1080 IPS 144 Hz, d'un processeur Intel Core i5 9300HD, de 8 Go de mémoire RAM, d'un SSD de 256 Go (+ un emplacement SATA libre) et surtout d'une carte graphique Nvidia GeForce RTX 2060 avec 6 Go de mémoire qui vous permettra de profiter de vos jeux de manière fluide en haute résolution. Le tout tourne sous Linux mais vous pouvez facilement installer Windows 10. Une souris vous est également offerte.

> Voir l'offre

68,27 €

Alimentation semi modulaire Corsair CX550M (550W, 80Plus Bronze) à 68,27 € livrée
Valable jusqu'au 04 Mars

Amazon fait une promotion sur l'alimentation Corsair CX 650W 80Plus Bronze qui passe à 66,79 € livrée gratuitement. Cette alimentation est silencieuse et est certifiée 80PLUS bronze qui offre des rendements de plus de 82% en charge. Elle est garantie 3 ans. On la trouve ailleurs à partir de 80 €.

> Voir l'offre

48,50 €

SSD Crucial BX500 480 Go à 48,50 €
Valable jusqu'au 03 Mars

Amazon propose actuellement le SSD Crucial BX500 480 Go à 48,50 € livré gratuitement alors qu'on le trouve ailleurs à plus de 60 €. Ce SSD offre des débits de 540 Mo/s en lecture et 500 Mo/s en écriture. Le SSD est accompagné du logiciel Acronis true image qui vous permettra de transférer tout le contenu de votre ancien disque dur sur le SSD. Il est garanti 3 ans.

> Voir l'offre

Sujets relatifs

	Infection bagle
	doute bagle+mode sans echec indisponible
	Infection Bagle
	Infecté par bagle, besoin d'aide pour désinfection
	Avast désactivé et PC qui rame... Bagle ?
	Bagle, AntimalwareDoctor, Registrybooster,
	Bagle et ses copains
	infection par périphériques externes et bagle
	Smart Engine, Bagle, Bootkit Whistler
	Infection Bagle bear et Usb
Plus de sujets relatifs à Bagle Battle

> Tous les forums > Forum Sécurité