Infection suite à lien "photo" cliqué sur MSN

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

j'ai enfin réussi à copier le fichier userinit avec le ubcd4in. A noter que pour moi il se trouvait au chemin suivant :
C:\Qoobox\quarantaine\C\Windows\System32\init32.exe.vir
(quarantine en langue anglaise, et ajout de l'extension .vir par mon antivirus)

La session windows s'ouvre enfin !!

J'ai voulu faire tourner combofix pour poster le rapport mais il me dit que la version d'essai a expiré puis ma fait planter l'ordi lorsqu'il démarre le scan en mode fonctions réduites.
Quelle est la bonne démarche pour finaliser le nettoyage, je ne veux pas que mon userinit soit de nouveau supprimé!

Merci
Malekal_morte
Messages : 116722
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Faut que tu télécharges une nouvelle version de ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

ET :


- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

voici le rapport combofix

ComboFix 09-03-29.04 - Fabien 2009-03-30 20:51:36.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1023.573 [GMT 2:00]
Lancé depuis: c:\documents and settings\Fabien\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.
Les fichiers ci-dessous ont été désactivés pendant l'exécution:
c:\program files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll


(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\windows\system32\init32.exe
c:\windows\system32\win32hlp.cnf

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-02-28 au 2009-03-30 ))))))))))))))))))))))))))))))))))))
.

2009-03-30 21:20 . 2004-08-19 16:10 25,088 --a------ c:\windows\system32\userinit.exe
2009-03-30 20:33 . 2009-03-30 20:33 <REP> d--hs---- c:\documents and settings\TEMP
2009-03-19 22:50 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB.001\Voisinage réseau
2009-03-19 22:50 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB.001\Voisinage d'impression
2009-03-19 22:50 . 2005-01-07 20:51 <REP> d--h----- c:\documents and settings\Administrateur.FAB.001\Modèles
2009-03-19 22:50 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.001\Mes documents
2009-03-19 22:50 . 2005-01-07 20:43 <REP> dr------- c:\documents and settings\Administrateur.FAB.001\Menu Démarrer
2009-03-19 22:50 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.001\Favoris
2009-03-19 22:50 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.001\Bureau
2009-03-19 22:50 . 2009-03-19 22:50 <REP> d-------- c:\documents and settings\Administrateur.FAB.001
2009-03-19 22:46 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB.000\Voisinage réseau
2009-03-19 22:46 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB.000\Voisinage d'impression
2009-03-19 22:46 . 2005-01-07 20:51 <REP> d--h----- c:\documents and settings\Administrateur.FAB.000\Modèles
2009-03-19 22:46 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.000\Mes documents
2009-03-19 22:46 . 2005-01-07 20:43 <REP> dr------- c:\documents and settings\Administrateur.FAB.000\Menu Démarrer
2009-03-19 22:46 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.000\Favoris
2009-03-19 22:46 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB.000\Bureau
2009-03-19 22:46 . 2009-03-19 22:47 <REP> d-------- c:\documents and settings\Administrateur.FAB.000
2009-03-19 20:07 . 2009-03-19 20:07 <REP> d-------- c:\program files\Trend Micro
2009-03-19 17:05 . 2009-03-19 17:05 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-03-19 17:05 . 2009-03-19 17:05 <REP> d-------- c:\documents and settings\Fabien\Application Data\Malwarebytes
2009-03-19 17:05 . 2009-03-19 17:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-03-19 17:05 . 2009-02-11 11:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-19 17:05 . 2009-02-11 11:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-19 16:38 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Voisinage réseau
2009-03-19 16:38 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Voisinage d'impression
2009-03-19 16:38 . 2005-01-07 20:51 <REP> d--h----- c:\documents and settings\Administrateur.FAB\Modèles
2009-03-19 16:38 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Mes documents
2009-03-19 16:38 . 2005-01-07 20:43 <REP> dr------- c:\documents and settings\Administrateur.FAB\Menu Démarrer
2009-03-19 16:38 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Favoris
2009-03-19 16:38 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur.FAB\Bureau
2009-03-19 16:38 . 2009-03-19 16:38 <REP> d-------- c:\documents and settings\Administrateur.FAB
2009-03-19 16:34 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2009-03-19 16:34 . 2005-01-07 20:43 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2009-03-19 16:34 . 2005-01-07 20:51 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2009-03-19 16:34 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2009-03-19 16:34 . 2005-01-07 20:43 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2009-03-19 16:34 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2009-03-19 16:34 . 2005-01-07 20:43 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2009-03-19 16:34 . 2009-03-19 16:34 <REP> d-------- c:\documents and settings\Administrateur
2009-03-18 23:45 . 2009-03-18 23:45 <REP> d-------- c:\windows\ERUNT
2009-03-18 19:06 . 2009-03-19 13:32 <REP> d-------- C:\SDFix
2009-03-18 18:58 . 2009-03-09 21:06 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-18 17:51 . 2009-03-18 17:51 0 --a------ c:\windows\system32\drivers\ovfsth.sys
2009-03-18 17:49 . 2009-03-09 21:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-18 17:38 . 2009-03-18 17:38 <REP> d-------- c:\program files\AxBx
2009-03-18 17:15 . 2009-03-18 17:15 <REP> d-------- c:\program files\Lavasoft
2009-03-18 17:15 . 2009-03-18 17:15 <REP> d--h-c--- c:\documents and settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-18 16:57 . 2009-03-18 16:57 40,448 --a------ c:\windows\system32\KuzSmall.exe
2009-03-18 16:43 . 2009-03-18 16:42 104,960 --a--c--- c:\windows\system32\dllcache\userinit.exe
2009-03-18 16:32 . 2009-03-18 22:36 43 --a------ c:\windows\system32\ovfsthvuvfcvknmsxdygcodgllibykysdihfmg.dat
2009-03-18 16:27 . 2009-03-19 21:57 42,394 --a------ c:\windows\system32\ovfsthmkruboeumoxkxmdjnbmmxmmnoekqtuwq.dat
2009-03-18 12:11 . 2009-03-17 21:13 48,690 -r-hs---- c:\windows\fxsteller.exe
2009-02-21 13:47 . 2009-02-21 13:47 <REP> d-------- c:\documents and settings\Fabien\Application Data\RayV
2009-02-06 19:52 . 2009-02-06 19:52 49,504 --a------ c:\windows\system32\sirenacm.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-30 18:40 --------- d-----w c:\program files\Java
2009-03-30 18:33 0 ----a-w c:\windows\system32\drivers\lvuvc.hs
2009-03-19 19:58 --------- d-----w c:\documents and settings\All Users\Application Data\avg8
2009-03-19 18:50 --------- d-----w c:\program files\eMule
2009-03-19 18:47 --------- d-----w c:\program files\FlashGet
2009-03-19 14:56 --------- d-----w c:\program files\CCleaner
2009-03-19 14:50 --------- d-----w c:\program files\Windows Media Connect 2
2009-03-19 14:50 --------- d-----w c:\program files\Winamp
2009-03-19 14:50 --------- d-----w c:\program files\PC Inspector File Recovery
2009-03-19 14:50 --------- d-----w c:\program files\DivX
2009-03-18 15:15 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2009-03-18 15:15 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2009-03-13 17:51 --------- d-----w c:\documents and settings\Fabien\Application Data\dvdcss
2009-03-12 20:21 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help
2009-03-09 03:19 410,984 ----a-w c:\windows\system32\deploytk.dll
2009-02-28 20:29 --------- d-----w c:\program files\SpeedFan
2009-02-24 20:47 --------- d-----w c:\documents and settings\Fabien\Application Data\Skype
2009-02-09 14:17 1,846,400 ----a-w c:\windows\system32\win32k.sys
2008-12-20 22:47 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-05 07:12 144,896 ----a-w c:\windows\system32\schannel.dll
2006-11-22 20:25 35,616 ----a-w c:\documents and settings\Fabien\Application Data\GDIPFONTCACHEV1.DAT
2006-06-18 17:58 278,528 ----a-w c:\program files\Fichiers communs\FDEUnInstaller.exe
2005-03-20 00:27 56 --sh--r c:\windows\system32\4DBF4C0621.sys
2005-03-20 00:27 12,884 --sha-w c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-03-19_21.04.13.45 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-20 19:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
+ 2005-10-20 18:02:28 163,328 ----a-w c:\windows\ERDNT\Hiv-backup\ERDNT.EXE
- 2000-08-31 07:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
+ 2000-08-31 06:00:00 29,696 ----a-w c:\windows\NIRCMD.exe
- 2000-08-31 07:00:00 161,792 ----a-w c:\windows\SWREG.exe
+ 2000-08-31 06:00:00 161,792 ----a-w c:\windows\SWREG.exe
- 2009-01-03 14:45:38 144,792 ----a-w c:\windows\system32\java.exe
+ 2009-03-09 03:19:11 144,792 ----a-w c:\windows\system32\java.exe
- 2009-01-03 14:45:38 144,792 ----a-w c:\windows\system32\javaw.exe
+ 2009-03-09 03:19:13 144,792 ----a-w c:\windows\system32\javaw.exe
- 2009-01-03 14:45:38 148,888 ----a-w c:\windows\system32\javaws.exe
+ 2009-03-09 03:19:13 148,888 ----a-w c:\windows\system32\javaws.exe
- 2009-02-12 04:56:17 21,244,872 ----a-w c:\windows\system32\MRT.exe
+ 2009-02-25 20:54:59 24,768,960 ----a-w c:\windows\system32\MRT.exe
- 2008-10-27 10:25:30 59,440 ----a-w c:\windows\system32\perfc009.dat
+ 2009-03-30 18:37:41 59,440 ----a-w c:\windows\system32\perfc009.dat
- 2008-10-27 10:25:30 72,126 ----a-w c:\windows\system32\perfc00C.dat
+ 2009-03-30 18:37:41 72,126 ----a-w c:\windows\system32\perfc00C.dat
- 2008-10-27 10:25:30 395,200 ----a-w c:\windows\system32\perfh009.dat
+ 2009-03-30 18:37:41 395,200 ----a-w c:\windows\system32\perfh009.dat
- 2008-10-27 10:25:30 460,986 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-03-30 18:37:41 460,986 ----a-w c:\windows\system32\perfh00C.dat
+ 2009-03-30 18:40:41 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_904.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-07-15 4112384]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-07-15 81920]
"LVCOMSX"="c:\windows\System32\LVCOMSX.EXE" [2005-12-09 225280]
"LogitechVideo[inspector]"="c:\program files\Logitech\Video\InstallHelper.exe" [2005-12-07 10:33 73728]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-09 515416]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-03-28 c:\windows\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2004-07-15 c:\windows\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-06-18 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Fabien\Menu D‚marrer\Programmes\D‚marrage\
Outil de notification Live Search.lnk - c:\documents and settings\Fabien\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe [2009-01-03 143360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
BTTray.lnk - c:\program files\WIDCOMM\Logiciel Bluetooth\BTTray.exe [2003-09-15 503869]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)
"NoActiveDesktopChanges"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2006-04-14 14:17 65536 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWlgn.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Canal Widget]
c:\program files\Canal\Canal Widget\Canal Widget.cpvod [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraAssistant]
--a------ 2005-12-07 10:26 489472 c:\program files\Logitech\Video\CameraAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCameraService(E)]
--a------ 2004-11-01 17:22 262144 c:\windows\system32\ElkCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
--a------ 2006-03-21 14:19 69632 c:\program files\ScanSoft\OmniPageSE4.0\OpWareSE4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
-ra------ 2003-09-30 01:14 155648 c:\program files\Fichiers communs\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
-ra------ 2006-03-30 17:45 313472 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-18 64160]
R2 BT848;WinFast TV2000 XP WDM Video Capture;c:\windows\system32\drivers\wf2kvcap.sys [2005-01-12 75925]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632]
R2 LF30FS;LF30FS;c:\program files\Everstrike Software\Lock Folder XP 3.3\LF30XP.sys [2004-11-19 101488]
R2 tv2ktunr;WinFast TV2000 XP WDM TVTuner;c:\windows\system32\drivers\wf2ktunr.sys [2005-01-12 36423]
R2 Tv2kXbar;WinFast TV2000 XP WDM Crossbar;c:\windows\system32\drivers\wf2kXbar.sys [2005-01-12 10005]
R3 LHidPPKE;Logitech SetPoint HID Function Driver;c:\windows\system32\drivers\LHidPPKE.Sys [2005-01-07 22536]
R3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [2005-02-05 379456]
S3 BW2NDIS5;BW2NDIS5;c:\windows\system32\Drivers\BW2NDIS5.sys --> c:\windows\system32\Drivers\BW2NDIS5.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 WFIOCTL;WFIOCTL;\??\c:\program files\WinFast\WFTVFM\WFIOCTL.SYS --> c:\program files\WinFast\WFTVFM\WFIOCTL.SYS [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - JAVAQUICKSTARTERSERVICE

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{20ccecb7-83b1-11db-b896-0060b3bc468d}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL m5launch.exe
.
Contenu du dossier 'Tâches planifiées'

2009-03-18 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 21:06]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&s ... f8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
IE: Télécharger avec FlashGet - c:\program files\FlashGet\jc_link.htm
IE: Télécharger tout avec FlashGet - c:\program files\FlashGet\jc_all.htm
Handler: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - c:\windows\system32\KuGoo3DownXControl.ocx
Handler: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - c:\windows\system32\KuGoo3DownXControl.ocx
DPF: {D84C4D49-A63A-4432-B319-718ECA705773} - hxxps://fox.f5.com/policy/download_binary.php/win32/f5syschk.cab#Version=5400,0,41115,1
FF - ProfilePath - c:\documents and settings\Fabien\Application Data\Mozilla\Firefox\Profiles\cnaxfdbl.default\
FF - prefs.js: browser.search.selectedEngine - Live Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - component: c:\documents and settings\Fabien\Application Data\Mozilla\Firefox\Profiles\cnaxfdbl.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}\platform\WINNT\components\FoxyTunes.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\NPuroamHost.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-30 20:53:14
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1132)
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-03-30 20:54:38
ComboFix-quarantined-files.txt 2009-03-30 18:54:27
ComboFix2.txt 2009-03-19 20:05:07

Avant-CF: 1,729,486,848 octets libres
Après-CF: 1,714,143,232 octets libres

Current=1 Default=1 Failed=2 LastKnownGood=3 Sets=1,2,3,4
259 --- E O F --- 2009-03-19 21:19:00
fab69

Re: Infection suite à lien "photo" cliqué sur MSN

par fab69 »

et le hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:22, on 30/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\Documents and Settings\Fabien\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
C:\Documents and Settings\Fabien\Application Data\Microsoft\Live Search\Mise-a-jour-LiveSearch.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\WIDCOMM\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\Windows Live\Messenger\wlcsdk.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Outil de notification Live Search.lnk = C:\Documents and Settings\Fabien\Application Data\Microsoft\Live Search\Notification-LiveSearch.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Télécharger avec FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Télécharger tout avec FlashGet - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6C275925-A1ED-4DD2-9CEE-9823F5FDAA10} (F5 Networks SSLTunnel) - https://firepass.f5demo.com/vdesk/termi ... ,0,50412,1
O16 - DPF: {CC85ACDF-B277-486F-8C70-2C9B2ED2A4E7} (F5 Networks SuperHost Class) - https://firepass.f5demo.com/vdesk/termi ... 004,11,2,5
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {D84C4D49-A63A-4432-B319-718ECA705773} - https://fox.f5.com/policy/download_bina ... ,0,41115,1
O16 - DPF: {E0FF21FA-B857-45C5-8621-F120A0C17FF2} (F5 Networks Host Control) - https://firepass.f5demo.com/vdesk/termi ... ,0,50316,1
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech Inc. - C:\Program Files\Fichiers communs\Logitech\Bluetooth\LBTSERV.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\fichiers communs\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 8243 bytes
Malekal_morte
Messages : 116722
Inscription : 10 sept. 2005 13:57

Re: Infection suite à lien "photo" cliqué sur MSN

par Malekal_morte »

Menu Démarrer / exécuter et tape : sfc /scannow puis OK (attention il y a un espace entre sfc et /scannow).
puis OK, laisse le scan se faire.

Ensuite :

Je te conseille de désinstaller Ad-Aware.
La version gratuite n'offre pas de protection en temps réel, ça reste un scanneur donc l'efficacité est plus qu'à douter, voir : http://forum.malekal.com/adwares-spywar ... t8046.html

Ensuite :

Pas d'antivirus à priori .. :

Pour moi, Antivir et AVG 8 sont beaucoup plus performants : C'est pourquoi, je te conseille TRES VIVEMENT de désinstaller ton antivirus et installer Antivir ou AVG 8 à la place (selon ton choix) .... ce n'est bien sûr pas une obligation mais un conseil.

Tu trouveras un tutorial Antivir depuis ce lien : https://www.malekal.com/tutorial_antivir.php
et une page qui explique comment migrer d'Avast! à Antivir : http://forum.malekal.com/abandonner-ava ... t4192.html
Si tu préféres AVG 8, voici la page pour migrer d'Avast! à AVG 8 : http://forum.malekal.com/abandonner-ava ... 11703.html

Une fois migré, fais un scan complet comme expliqué dans les pages précédentes.

Poste le rapport de scan ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »