warning spyware detected on your computer • page 2

[tanouche5555]

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLMSYSTEMCCSServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[tanouche5555]

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLMSYSTEMCCSServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[r@in | b0w]

Et bien! Il va falloir surveiller ta navigation quand même!

_ Tu télécharges Ccleaner qui reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.

_ Tu redémarres en Mode sans échec ([F8] au démarrage).

Tu te logges ensuite sur ta session puis tu lances SmitfraudFix.

_ Tu appuies sur la touche [3] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

_ Tu relances ensuite SmitfraudFix et tu appuies sur la touche [5] puis [Entrée].
Si tu as une ligne demandant le nettoyage de la base de registre, appuies sur la touche [O] - pour Oui.

Quand l'analyse sera finie, un rapport sera généré.
Tu l'enregistres car il n'est pas sauvegardé par défaut.

_ Tu cliques sur Démarrer puis Tous les programmes, Accessoires et finalement Invite de commandes ou, si l'Invite de commandes n'est pas là, tu vas toujours dans Accessoires puis Outils système et enfin Invite de commandes.

Tu copies-colles la ligne suivante (avec le clic droit car le raccourci clavier ne fonctionne pas) et tu la valides ensuite par la touche [Entrée]:

Code: Tout sélectionner

del C:WINDOWSsystem32lphcr3uj0e58r.exe

Toujours en Mode sans échec, tu lances Ccleaner pour un petit nettoyage.

Tu redémarres ensuite en Mode normal et tu fais un nouveau scan HiJackThis dont tu postes le rapport.
Dis-nous si tu as un message d'erreur lors de l'Invite de commandes.

[tanouche5555]

Bonjour rainbow,

ce qui concerne ccleaner a ete fait!

pour smitfraud, jai fait en mode sans echec la commande 3, mais aucun rapport n'est apparu. J'ai voulu faire la commande 5 mais il m'a dit que ce n'est qu'en mode normal que c'est possible, et j'ai refait un nettoyage (commande 2).
Revenu en mode normal, le fond d'ecran est redevenu normal, je peux donc le modifier, cest un bon point!
Seulement google est toujours bizarre, les pages de recherche ont une police plus grosse qu'a la normale, et quand je clique sur un lien il me renvoie vers une page go.google.... donc ceci ne marche pas encore!!


ensuite j'ai effectué smitfraud commande 5 voici le rapport:

SmitFraudFix v2.352

Rapport fait à 13:23:57,21, 21/09/2008
Executé à partir de C:Documents and SettingsJ,r,mieBureauSmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» DNS Avant Fix

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLMSYSTEMCCSServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» DNS Après Fix

Description: Broadcom NetXtreme 57xx Gigabit Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLMSYSTEMCCSServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpip..{23437F5A-0DB6-40A0-AD14-4755AF4B2ED0}: DhcpNameServer=192.168.1.1
HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=192.168.1.1
HKLMSYSTEMCS3ServicesTcpipParameters: DhcpNameServer=192.168.1.1

l'invite de commande et le del a bien marché!

voici le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:25, on 21/09/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAnalog DevicesCoresmax4pnp.exe
C:Program FilesCreativeSBAudigy2ZSSurround MixerCTSysVol.exe
C:Program FilesCreativeSBAudigy2ZSDVDAudioCTDVDDET.EXE
C:WINDOWSsystem32CTHELPER.EXE
C:Program FilesHPHP Software UpdateHPWuSchd2.exe
C:Program FilesLogitechVideoLogiTray.exe
C:Program FilesJavajre1.6.0_07injusched.exe
C:Program FilesCyberLinkPowerDVD8PDVD8Serv.exe
C:Program FilesCyberlinkShared Filesrs.exe
C:Program FilesOrangeSystraySystrayApp.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesDAEMON Toolsdaemon.exe
C:Program FilesMicrosoft ActiveSyncwcescomm.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesWindows LiveMessengermsnmsgr.exe
C:PROGRA~1FICHIE~1France TelecomShared ModulesAlertModuleAlertModule.exe
C:Program FilesHPDigital Imaginginhpqtra08.exe
C:PROGRA~1MI3AA1~1 apimgr.exe
C:Program FilesFichiers communsMicrosoft SharedWorks Sharedwkcalrem.exe
C:Program FilesOrangeLauncherLauncher.exe
C:Program FilesOrangeconnectivityconnectivitymanager.exe
C:WINDOWSsystem32LVComS.exe
C:Program FilesOrangeconnectivityCoreComCoreCom.exe
C:Program FilesHPDigital Imaginginhpqimzone.exe
C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
C:Program FilesBonjourmDNSResponder.exe
C:WINDOWSsystem32CTsvcCDA.EXE
C:PROGRA~1FICHIE~1France TelecomShared ModulesFTRTSVCFTRTSVC.exe
C:Program FilesIntelIntel Application Acceleratoriaantmon.exe
C:WINDOWSsystem32
vsvc32.exe
C:WINDOWSsystem32HPZipm12.exe
C:WINDOWSsystem32PnkBstrA.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesHPDigital ImaginginhpqSTE08.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32wscntfy.exe
C:Program FilesOrangeconnectivityCoreComOraConfigRecover.exe
C:PROGRA~1FICHIE~1France TelecomShared ModulesFTCOMModuleFTCOMModule.exe
C:Program FilesWindows LiveMessengerusnsvc.exe
C:WINDOWSsystem32wuauclt.exe
C:Program Filesinternet exploreriexplore.exe
C:Program FilesInternet ExplorerIexplore.exe
C:Program FilesTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.fr/
R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = http://192.168.1.1/ServicesAcces.html
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:Program FilesOrangeSearchURLHookSearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesFichiers communsAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [SoundMAXPnP] C:Program FilesAnalog DevicesCoresmax4pnp.exe
O4 - HKLM..Run: [IAAnotif] C:Program FilesIntelIntel Application Acceleratoriaanotif.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [CTSysVol] C:Program FilesCreativeSBAudigy2ZSSurround MixerCTSysVol.exe /r
O4 - HKLM..Run: [CTDVDDET] "C:Program FilesCreativeSBAudigy2ZSDVDAudioCTDVDDET.EXE"
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [HP Software Update] C:Program FilesHPHP Software UpdateHPWuSchd2.exe
O4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe
O4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_07injusched.exe"
O4 - HKLM..Run: [RemoteControl8] "C:Program FilesCyberLinkPowerDVD8PDVD8Serv.exe"
O4 - HKLM..Run: [PDVD8LanguageShortcut] "C:Program FilesCyberLinkPowerDVD8LanguageLanguage.exe"
O4 - HKLM..Run: [BDRegion] C:Program FilesCyberlinkShared Filesrs.exe
O4 - HKLM..Run: [ORAHSSSessionManager] C:Program FilesOrangeSessionManagerSessionManager.exe
O4 - HKLM..Run: [SystrayORAHSS] "C:Program FilesOrangeSystraySystrayApp.exe"
O4 - HKLM..Run: [lphcr3uj0e58r] C:WINDOWSsystem32lphcr3uj0e58r.exe
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033
O4 - HKCU..Run: [H/PC Connection Agent] "C:Program FilesMicrosoft ActiveSyncwcescomm.exe"
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKCU..Run: [msnmsgr] "C:Program FilesWindows LiveMessengermsnmsgr.exe" /background
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:Program FilesHPDigital Imaginginhpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imaginginhpqtra08.exe
O4 - Global Startup: Rappels du Calendrier Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:PROGRA~1MI3AA1~1INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3Office12REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe
O15 - Trusted Zone: http://www.orange.fr
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/Fac ... oader5.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-U ... E_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1FICHIE~1SkypeSKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple, Inc. - C:Program FilesFichiers communsAppleMobile Device SupportinAppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:Program FilesBonjourmDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTsvcCDA.EXE
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:PROGRA~1FICHIE~1France TelecomShared ModulesFTRTSVCFTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:Program FilesIntelIntel Application Acceleratoriaantmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32
vsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe

--
End of file - 10346 bytes

[tanouche5555]

rainbow,

je ne suis pas tres rassuré car je me rends compte que j'ai un probleme important qui persiste encore: quand mon ordinateur reste plus de 5-10 min inactif, lecran saute et c'est la page de demarrage qui apparait avec le chargement sous le logo Windows, puis apres un ecran bleu avec des phrases d'erreurs ou autres! je dois simplement appuyer sur entrée pour revenir a la normale et a mon bureau avec mes fenetres...

ce probleme est apparu en meme temps que le virus, et il ne semble pas etre parti!!!!

[r@in | b0w]

Bonjour.

En effet, il reste une petite bête.

Via HiJackThis, tu supprimes la ligne O4 - HKLM..Run: [lphcr3uj0e58r] C:WINDOWSsystem32lphcr3uj0e58r.exe.

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier C:WINDOWSsystem32lphcr3uj0e58r.exe et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

A la fin de l'analyse, tu cliques sur Formaté en haut à gauche puis, dans la nouvelle fenêtre, tu cliques sur le bouton pour faire apparaître le rapport dans la fenêtre en question.

Tu sélectionnes ce rapport puis fais un copier-coller et tu le colles dans ton prochain message.

Ensuite, tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner

The PC will now restart, SDFix will run again after reboot.

Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

[tanouche5555]

rainbow,

je ne peux toujours pas acceder a virustotal.com, il m'est que internet explorer ne peut afficher cette page web!

je procede a sdfix de suite!

[r@in | b0w]

je procede a sdfix de suite!

Cela suffira à te faire retrouver une machine saine je pense.

J'attends le rapport.

[tanouche5555]

rainbow,

voici le rapport!!
tout semble d'aller mieux, merci beaucoup!!!!

SDFix: Version 1.225
Run by J,r,mie on 21/09/2008 at 19:18

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :

Name :
sysrest.sys

Path :
??C:WINDOWSsystem32sysrest.sys

sysrest.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File
Restoring Default ScreenSaver value

Rebooting


Checking Files :

Trojan Files Found:

C:WINDOWSsystem32lphcr3uj0e58r.scr - Deleted
C:WINDOWSsystem32sysrest32.exe - Deleted
C:WINDOWSsystem32drivers dssserv.sys - Deleted
C:WINDOWSsystem32sysrest.sys - Deleted
C:WINDOWSsystem32 dssadw.dll - Deleted
C:WINDOWSsystem32 dssinit.dll - Deleted
C:WINDOWSsystem32 dssl.dll - Deleted
C:WINDOWSsystem32 dsslog.dll - Deleted
C:WINDOWSsystem32 dssmain.dll - Deleted
C:WINDOWSsystem32 dssserf.dll - Deleted
C:WINDOWSsystem32 dssservers.dat - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 19:29:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices80609b3e]
"ImagePath"="SystemRootSystem32drivers80609b3e.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:b6,b0,d9,79,bd,87,8f,80,b0,14,74,70,e7,03,42,33,0d,71,99,99,f0,..
"p0"="C:Program FilesDAEMON Tools"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,9e,a8,15,9b,97,7b,09,d8,ca,37,2a,8c,5e,67,da,65,d0,..
"khjeh"=hex:76,12,d7,fd,73,0f,9b,d4,87,89,af,91,ed,c5,cf,3e,2d,17,43,4d,ac,..

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:fb,34,d9,69,06,54,b5,48,33,cf,ad,c7,45,da,e7,37,68,0b,d8,87,2d,..
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"systemrootsystem32driversTDSSserv.sys"
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:b6,b0,d9,79,bd,87,8f,80,b0,14,74,70,e7,03,42,33,0d,71,99,99,f0,..
"p0"="C:Program FilesDAEMON Tools"

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,9e,a8,15,9b,97,7b,09,d8,ca,37,2a,8c,5e,67,da,65,d0,..
"khjeh"=hex:76,12,d7,fd,73,0f,9b,d4,87,89,af,91,ed,c5,cf,3e,2d,17,43,4d,ac,..

[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:fb,34,d9,69,06,54,b5,48,33,cf,ad,c7,45,da,e7,37,68,0b,d8,87,2d,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003Services80609b3e]
"ImagePath"="SystemRootSystem32drivers80609b3e.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:b6,b0,d9,79,bd,87,8f,80,b0,14,74,70,e7,03,42,33,0d,71,99,99,f0,..
"p0"="C:Program FilesDAEMON Tools"

[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001]
"a0"=hex:20,01,00,00,9e,a8,15,9b,97,7b,09,d8,ca,37,2a,8c,5e,67,da,65,d0,..
"khjeh"=hex:76,12,d7,fd,73,0f,9b,d4,87,89,af,91,ed,c5,cf,3e,2d,17,43,4d,ac,..

[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicessptdCfg19659239224E364682FA4BAF72C53EA40000001Jf40]
"khjeh"=hex:fb,34,d9,69,06,54,b5,48,33,cf,ad,c7,45,da,e7,37,68,0b,d8,87,2d,..
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesTDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"systemrootsystem32driversTDSSserv.sys"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Azureus\Azureus.exe"="C:\Program Files\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"C:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe"="C:\Program Files\Sports Interactive\Football Manager 2008\fm.exe:*:Enabled:Football Manager 2008"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe"="C:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\WINDOWS\system32\PnkBstrA.exe"="C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA"
"C:\WINDOWS\system32\PnkBstrB.exe"="C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Documents and Settings\J,r,mie\Mes documents\PES2008.exe"="C:\Documents and Settings\J,r,mie\Mes documents\PES2008.exe:*:Enabled:Pro Evolution Soccer 2008"
"C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe"="C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe:*:Enabled:CyberLink PowerDVD 8.0"
"C:\Program Files\Orange\Connectivity\ConnectivityManager.exe"="C:\Program Files\Orange\Connectivity\ConnectivityManager.exe:*:enabled:CSS"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Documents and Settings\J,r,mie\Local Settings\Temp\.tt10.tmp"="C:\Documents and Settings\J,r,mie\Local Settings\Temp\.tt10.tmp:*:Enabled:enable"
"C:\WINDOWS\system32\sysrest32.exe"="C:\WINDOWS\system32\sysrest32.exe:*:Enabled:enable"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe"="C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe:*:Enabled:CyberLink PowerDVD 8.0"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:SDFixackupsackups.zip

Files with Hidden Attributes :

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:Program FilesSpybot - Search & DestroySDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:Program FilesSpybot - Search & DestroySpybotSD.exe"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:Program FilesSpybot - Search & DestroyTeaTimer.exe"
Mon 4 Feb 2008 4,348 ..SH. --- "C:Documents and SettingsAll UsersDRMDRMv1.bak"
Tue 4 Dec 2007 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv01.tmp"
Tue 26 Aug 2008 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv02.tmp"

Finished!

[r@in | b0w]

Ok.

Tu as une machine opérationnelle maintenant ou pas encore?