[OK]Log HijackThis pour décontamination Win32Pakes-AKM [Trj]

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[OK]Log HijackThis pour décontamination Win32Pakes-AKM [Trj]

Messagede flo666 » 07 Juil 2008, 23:08

Bonjour,

Cela fait plusieurs semaines qu'Avast m'avait détecté un trojan Win32:BHO-KD.
Aujourd'hui Avast détecte un trojan Win32Pakes-AKM (ca m'étonnerait que le Win32:BHO-KD ait disparu).

La détection se fait à l'ouverture d'un explorateur de fichiers. Le fichier infecté est C:\WINDOWS\System32\catsrvf.dll

J'ai appliqué la procédure PAD, je me permet de poster le log HijackThis car après diverses tentatives je n'arrive pas à m'en débarrasser.

HJT2.txt :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:42, on 2008-07-07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\PrevxCSI\prevxcsi.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\vasyjackgogo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: (no name) - {E066FB99-2E3B-477A-91AE-80C045A3DB79} - c:\windows\system32\dbmsrpcnf.dll
O2 - BHO: (no name) - {E28B868A-09DA-4234-833C-63982C7166E1} - C:\WINDOWS\System32\catsrvf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 20-20 Shortcut Bar.lnk = C:\Program Files\cuisine\Mswin\60\SCBar.Exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O20 - Winlogon Notify: rzlywkbj - C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\prevxcsi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6295 bytes


J'ai également le log navilog navi1.txt :

Search Navipromo version 3.6.0 commencé le 2008-07-07 à 23:45:47.60

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spéblurpte !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "mel"

Mise à jour le 27.06.2008 à 23h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 6.0.2600.0000
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\mel\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.MEL\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.000\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\mel\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.MEL\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\mel\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.MEL\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\DOCUME~1\ADMINI~1.000\menudm~1\progra~1" ***

*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

Aucun Fichier trouvé


*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\mel\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1.MEL\locals~1\applic~1" *

* Recherche dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" *



*** Recherche fichiers ***



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\mel\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1.MEL\locals~1\applic~1" :


* Dans "C:\DOCUME~1\ADMINI~1.000\locals~1\applic~1" :


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 2008-07-07 à 23:49:01.68 ***


Merci d'avance pour votre aide !
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 08 Juil 2008, 20:06

Bonsoir,

Petit rappel:

Windows XP Service Pack 3, Date de publication : 6 mai 2008

Windows XP Service Pack 2, Date de publication : 25 août 2004

Windows XP Service Pack 1a, Date de publication : 3 février 2003

Windows XP Service Pack 1, Date de publication : 9 septembre 2002


Pourquoi n'as-tu installé aucun Service Pack pour Windows XP?



Ton PC est infecté par Vundo.

Pour bâtir une procédure de nettoyage, j'ai besoin de logs plus détaillés:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec)
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.


Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Télécharger Deckard's System Scanner (DSS) depuis http://deckard.geekstogo.com/dss.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur dss.exe situé sur le Bureau pour lancer l'installation et l'exécution de l'outil.
Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 3: Résultats
Envoyer en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Note importante: Pour l'envoi de ta(tes) réponse(s), il ne faut pas créer un nouveau sujet, mais cliquer sur le bouton "Répondre"
Image pour continuer dans ce fil de discussion.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede flo666 » 08 Juil 2008, 21:45

Merci pour ton aide ! En effet aucun service pack pour Windows n'a été installé :oops:

Voici le log main.txt :

Deckard's System Scanner v20071014.68
Run by mel on 2008-07-08 22:39:10
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
8: 2008-07-08 20:39:23 UTC - RP96 - Deckard's System Scanner Restore Point
7: 2008-07-08 18:00:35 UTC - RP95 - Point de vérification système
6: 2008-07-07 17:31:35 UTC - RP94 - Point de vérification système
5: 2008-07-06 12:05:58 UTC - RP93 - Installé Java(TM) 6 Update 6
4: 2008-07-06 09:23:42 UTC - RP92 - Removed SUPERAntiSpyware Free Edition


-- First Restore Point --
1: 2008-07-04 18:18:02 UTC - RP89 - Point de vérification système


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as mel.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:40, on 2008-07-08
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\mel\Bureau\dss.exe
C:\PROGRA~1\HIJACK~1\mel.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: (no name) - {E066FB99-2E3B-477A-91AE-80C045A3DB79} - c:\windows\system32\dbmsrpcnf.dll
O2 - BHO: (no name) - {E28B868A-09DA-4234-833C-63982C7166E1} - C:\WINDOWS\System32\catsrvf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 20-20 Shortcut Bar.lnk = C:\Program Files\cuisine\Mswin\60\SCBar.Exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O20 - Winlogon Notify: rzlywkbj - C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6123 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.exe - exefile - shell\open\command - %1 %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 dwazjein - c:\windows\system32\drivers\czyjfmhd.dat
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.2.0.3) - c:\windows\system32\drivers\aegisp.sys <Not>
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not>
R2 KeyP - c:\windows\system32\drivers\keyp.sys <Not>
R3 AR5211 (NETGEAR WPN311 V1H3 Wireless Adapter Service) - c:\windows\system32\drivers\wpn311.sys <Not>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not>

S3 alcan5ln (SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS)) - c:\windows\system32\drivers\alcan5ln.sys <Not>
S3 catchme - c:\docume~1\mel\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur de bus USB
Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Manufacturer:
Name: Contrôleur de bus USB
PNP Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Carte Fast Ethernet compatible VIA
Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Manufacturer: VIA Technologies, Inc.
Name: Carte Fast Ethernet compatible VIA
PNP Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Service: FETNDIS

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Miniport de pont MAC
Device ID: ROOT\MS_BRIDGEMP\0000
Manufacturer: Microsoft
Name: Miniport de pont MAC
PNP Device ID: ROOT\MS_BRIDGEMP\0000
Service: BridgeMP


-- Files created between 2008-06-08 and 2008-07-08 -----------------------------

2008-07-07 23:44:50 0 d-------- C:\Program Files\Navilog1
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage réseau
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage d'impression
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\SendTo
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Recent
2008-07-06 11:28:21 237568 --ah----- C:\Documents and Settings\Administrateur.MEL.000\NTUSER.DAT
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Modèles
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Mes documents
2008-07-06 11:28:21 0 dr------- C:\Documents and Settings\Administrateur.MEL.000\Menu Démarrer
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Local Settings
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Favoris
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Cookies
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Bureau
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\Application Data
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Application Data\Microsoft
2008-07-06 11:28:11 0 d--hs---- C:\WINDOWS\CSC
2008-07-06 11:11:54 0 d-------- C:\VundoFix Backups
2008-07-06 11:10:57 0 dr-h----- C:\Documents and Settings\mel\Recent
2008-07-06 11:03:51 0 d-------- C:\Program Files\CCleaner
2008-07-06 09:35:50 0 d-------- C:\KILLTROJANs <KILLTR>
2008-07-03 20:07:30 0 d-------- C:\Program Files\Audacity


-- Find3M Report ---------------------------------------------------------------

2008-07-06 14:08:42 0 d-------- C:\Program Files\Java
2008-07-06 11:24:32 0 d-------- C:\Program Files\Yahoo!
2008-07-06 11:24:00 0 d-------- C:\Program Files\Fichiers communs
2008-07-06 11:23:53 0 d-------- C:\Program Files\SUPERAntiSpyware
2008-07-06 11:22:51 0 d-------- C:\Program Files\Panda Security
2008-07-05 09:29:36 0 d-------- C:\Program Files\eMule
2008-06-16 19:09:01 4861 --a----c- C:\WINDOWS\mozver.dat
2008-06-10 23:07:16 0 d-------- C:\Program Files\IKEA HomePlanner
2008-06-10 23:05:36 0 d-------- C:\Program Files\Cuisine Astuce
2008-05-25 15:58:38 0 d-------- C:\Program Files\Avant Browser


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-01-13 14:05]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28]
"msnappau"="C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe" [2004-07-22 22:53]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-12-20 21:54]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-02 22:49]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-05-03 10:40]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-15 22:52]
"CloneCDTray"="C:\Program Files\CloneCD\CloneCDTray.exe" [2004-09-02 23:57]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"4xyn"="C:\WINDOWS\system32\4xyn.exe" []
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [2006-11-01 02:34]
"4xyn"="C:\WINDOWS\system32\4xyn.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj]
dbmsrpcnf.dll 2001-08-28 14:00 83968 C:\WINDOWS\system32\dbmsrpcnf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-BP]
"C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
kyrreyam




-- Hosts -----------------------------------------------------------------------

127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 www.032439.com

7840 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-07-08 22:40:54 ------------
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 08 Juil 2008, 21:45

Et voici le log extra.txt :

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professionnel (build 2600)
Architecture: X86; Language: French

CPU 0: AMD Athlon(TM) XP 2400+
Percentage of Memory in Use: 50%
Physical Memory (total/avail): 511.53 MiB / 255.29 MiB
Pagefile Memory (total/avail): 1250.67 MiB / 956.8 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1953.88 MiB

A: is Removable (Unformatted)
C: is Fixed (NTFS) - 9.77 GiB total, 1.86 GiB free.
D: is Fixed (NTFS) - 76.33 GiB total, 0.39 GiB free.
E: is Fixed (NTFS) - 18.87 GiB total, 0.14 GiB free.
F: is CDROM (No Media)
G: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - Maxtor 6E030L0 - 28.63 GiB - 2 partitions
\PARTITION0 (bootable) - Système de fichiers installable - 9.77 GiB - C:
\PARTITION1 - Système de fichiers installable - 18.87 GiB - E:

\\.\PHYSICALDRIVE1 - Maxtor 6Y080L0 - 76.33 GiB - 1 partition
\PARTITION0 - Système de fichiers installable - 76.33 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
AUState says computer has updates disabled.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Documents and Settings\All Users
ANT_HOME=C:\apache-ant-1.6.5
APPDATA=C:\Documents and Settings\mel\Application Data
CLASSPATH=C:\Program Files\Java\j2re1.4.2_09\lib\ext\QTJava.zip
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
COMPUTERNAME=MEL
ComSpec=C:\WINDOWS\system32\cmd.exe
HOMEDRIVE=C:
HOMEPATH=\
J2EE_HOME=C:\Sun\AppServer
JAVA_HOME=C:\j2sdk1.4.2_09
LOGONSERVER=\\MEL
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Program Files\Fichiers communs\Roxio Shared\DLLShared;C:\Program Files\QuickTime\QTSystem\;C:\Program Files\UltraEdit-32;C:\Program;C:\Sun\AppServer\bin;;C:\j2sdk1.4.2_09\bin;C:\apache-ant-1.6.5\bin
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA=C:\Program Files\Java\j2re1.4.2_09\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\mel\LOCALS~1\Temp
TMP=C:\DOCUME~1\mel\LOCALS~1\Temp
tvdumpflags=8
USERDOMAIN=MEL
USERNAME=mel
USERPROFILE=C:\Documents and Settings\mel
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

mel (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> c:\program files\cuisine\ComUninst32.exe /Uninstall -c"c:\program files\cuisine\_UNODBC.DLL"
--> C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Download Manager 1.2 (Supprimer uniquement) --> "C:\Program Files\Fichiers communs\Adobe\ESD\uninst.exe"
Adobe Flash Player Plugin --> C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 7.0.7 - Français --> MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70700000002}
Ahead Nero Burning ROM --> C:\Program Files\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Alcatel SpeedTouch USB Software --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D41FAAA9-8048-4906-86B2-9AADEA1FA0B7}\Setup.exe"
Audacity 1.2.6 --> "C:\Program Files\Audacity\unins000.exe"
Audio Conversion Wizard 1.4 --> "C:\Program Files\Audio Conversion Wizard\unins000.exe"
avast! Antivirus --> C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
Barre d'outils MSN --> C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\mtbs.exe c
BitTorrent 5.0.0 --> "C:\Program Files\BitTorrent\uninstall.exe"
BSPlayer --> "C:\Program Files\BSplayerPro\uninstall.exe"
Bubblets 1.0 --> "C:\Program Files\MSN Gaming Zone\Windows\Bubblets\unins000.exe"
CCleaner (remove only) --> "C:\Program Files\CCleaner\uninst.exe"
CDex extraction audio --> "C:\Program Files\CDex_150\uninstall.exe"
CloneCD --> "C:\Program Files\CloneCD\ccd-uninst.exe" /D="C:\Program Files\CloneCD"
Correctif pour le Lecteur Windows Media [Voir Q828026 pour plus d'informations] --> C:\WINDOWS\$NtUninstallQ828026$\spuninst\spuninst.exe
Correctif Windows XP - KB823559 --> C:\WINDOWS\$NtUninstallKB823559$\spuninst\spuninst.exe
Correctif Windows XP - KB824141 --> C:\WINDOWS\$NtUninstallKB824141$\spuninst\spuninst.exe
Correctif Windows XP - KB825119 --> C:\WINDOWS\$NtUninstallKB825119$\spuninst\spuninst.exe
Correctif Windows XP - KB828035 --> C:\WINDOWS\$NtUninstallKB828035$\spuninst\spuninst.exe
Correctif Windows XP - KB828741 --> C:\WINDOWS\$NtUninstallKB828741$\spuninst\spuninst.exe
Correctif Windows XP - KB835732 --> C:\WINDOWS\$NtUninstallKB835732$\spuninst\spuninst.exe
Correctif Windows XP - KB837001 --> C:\WINDOWS\$NtUninstallKB837001$\spuninst\spuninst.exe
Correctif Windows XP - KB840374 --> C:\WINDOWS\$NtUninstallKB840374$\spuninst\spuninst.exe
DVD Shrink 3.2 --> "C:\Program Files\DVD Shrink\unins000.exe"
Easy CD & DVD Creator 6 --> MsiExec.exe /I{644F9DBE-CEDB-45AF-ACB8-E26692B74F62}
eMule --> "C:\Program Files\eMule\Uninstall.exe"
Freeplayer --> C:\Program Files\Freeplayer\Uninstall.exe
GoldWave v4.26 --> C:\WINDOWS\sxstall2.exe "GoldWave v4.26" "C:\Program Files\GoldWave\unstall.log"
Google Gmail Notifier --> "C:\Program Files\Google\Gmail Notifier\UninstallGmail.exe"
Guitar Pro 5.0 --> "D:\Guitar Pro 5\unins000.exe"
HijackThis 2.0.2 --> "C:\Program Files\HijackThis\HijackThis.exe" /uninstall
HP PrecisionScan --> C:\WINDOWS\IsUn040c.exe -f"C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\Uninst.isu" -c"C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan\HPUninstallIs.dll"
Internet Explorer Q832894 --> C:\WINDOWS\ieuninst.exe C:\WINDOWS\INF\Q832894.inf
IsoBuster 2.2 --> "C:\Program Files\Smart Projects\IsoBuster\Uninst\unins000.exe"
iTunes --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{501BADCD-F8F7-44CB-AC3F-6ED25C1A28B5} /l1036
Java 2 Platform, Enterprise Edition 1.4 SDK --> "C:\Sun\AppServer\uninstall.exe" -javahome "C:\Sun\AppServer\jdk"
Java 2 Runtime Environment, SE v1.4.2_09 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142090}
Java 2 SDK, SE v1.4.2_09 --> MsiExec.exe /I{35A3A4F4-B792-11D6-A78A-00B0D0142090}
Java(TM) 6 Update 6 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
K-Lite Codec Pack 2.20 Full --> "C:\Program Files\K-Lite Codec Pack\unins000.exe"
Ma Cuisine Lapeyre --> C:\PROGRA~1\MACUIS~1\UNWISE.EXE C:\PROGRA~1\MACUIS~1\INSTALL.LOG
Macromedia Flash Player 8 --> RunDll32 advpack.dll,LaunchINFSection \swflash.inf,DefaultUninstall,5
Microsoft Office XP Professional avec FrontPage --> MsiExec.exe /I{9028040C-6000-11D3-8CFE-0050048383C9}
Mozilla Firefox (2.0.0.15) --> C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Navilog1 3.6.0 --> "C:\Program Files\Navilog1\unins000.exe"
NETGEAR WPN311 Wireless Adapter --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{AB938897-211A-4999-9749-236D2E8E464A}
OLYMPUS CAMEDIA Master Pro --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{30BB4D60-81DB-11D5-BB77-00400536ABAC}\Setup.exe"
Outlook Express Q837009 --> C:\WINDOWS\oeuninst.exe C:\WINDOWS\INF\Q837009.inf
Package du correctif Windows XP [voir Q329115 pour plus de détails] --> C:\WINDOWS\$NtUninstallQ329115$\spuninst\spuninst.exe
QuickTime --> C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{929408E6-D265-4174-805F-81D1D914E2A4} /l1036
RealPlayer --> C:\Program Files\Fichiers communs\Real\Update_OB\r1puninst.exe RealNetworks|RealPlayer|6.0
SONiVOX Free Tabla Drums --> C:\WINDOWS\system32\UnInstallSONiVOX Free Tabla Drums.EXE C:\WINDOWS\system32\SoundfontFreeTablaDrums_pc.log
SoundMAX --> RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F0A37341-D692-11D4-A984-009027EC0A9C}\Setup.exe"
UltraEdit-32 --> "C:\Program Files\UltraEdit-32\Uninstall.exe" "C:\Program Files\UltraEdit-32\ueinstall.log" -u
VideoLAN VLC media player 0.8.6 --> C:\Program Files\VLC\uninstall.exe
VobSub v2.23 (Remove Only) --> "C:\Program Files\Gabest\VobSub\uninstall.exe"
Winamp (remove only) --> "C:\Program Files\Winamp\UninstWA.exe"
Windows Live Messenger --> MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}
Windows XP Application Compatibility Update[Q319580] --> C:\WINDOWS\$NtUninstallQ319580$\spuninst\spuninst.exe
WinRAR archiver --> C:\Program Files\WinRAR\uninstall.exe
ZoneAlarm --> C:\Program Files\Zone Labs\ZoneAlarm\zauninst.exe
Zylom Games Player Plugin --> "C:\Program Files\Zylom Games\UninstallPlugin.exe" --uninstall


-- Application Event Log -------------------------------------------------------

Event Record #/Type3793 / Error
Event Submitted/Written: 07/06/2008 11:32:10 AM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Event Record #/Type3792 / Error
Event Submitted/Written: 07/06/2008 11:32:10 AM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043C à partir de la ligne 44 de d:\nt_qxp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

Event Record #/Type3786 / Error
Event Submitted/Written: 07/05/2008 11:53:16 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante wlancfg5.exe, version 1.2.14.306, module défaillant wcapi.dll, version 4.1.0.161, adresse de défaillance 0x0000dd60.

Event Record #/Type3751 / Error
Event Submitted/Written: 06/25/2008 01:02:08 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante iexplore.exe, version 6.0.2600.0, module défaillant unknown, version 0.0.0.0, adresse de défaillance 0x61eb77e0.

Event Record #/Type3737 / Error
Event Submitted/Written: 06/21/2008 11:12:21 AM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante iexplore.exe, version 6.0.2600.0, module défaillant shdocvw.dll, version 6.0.2737.800, adresse de défaillance 0x0001522a.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type43130 / Error
Event Submitted/Written: 07/08/2008 06:10:14 PM
Event ID/Source: 7 / Cdrom
Event Description:
Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Event Record #/Type43129 / Error
Event Submitted/Written: 07/08/2008 06:10:10 PM
Event ID/Source: 7 / Cdrom
Event Description:
Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Event Record #/Type43128 / Error
Event Submitted/Written: 07/08/2008 06:10:06 PM
Event ID/Source: 7 / Cdrom
Event Description:
Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Event Record #/Type43127 / Error
Event Submitted/Written: 07/08/2008 06:10:02 PM
Event ID/Source: 7 / Cdrom
Event Description:
Le périphérique \Device\CdRom0 comporte un bloc défectueux.

Event Record #/Type43126 / Error
Event Submitted/Written: 07/08/2008 06:09:57 PM
Event ID/Source: 7 / Cdrom
Event Description:
Le périphérique \Device\CdRom0 comporte un bloc défectueux.



-- End of Deckard's System Scanner: finished at 2008-07-08 22:40:54 ------------
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 08 Juil 2008, 23:36

Re-

Premiers nettoyages:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser en mode sans échec.



Étape 1: The Avenger (de Swandog46), téléchargement
Télécharger The Avenger en cliquant sur ce lien: http://swandog46.geekstogo.com/avenger2/download.php
Enregistrer ce fichier sur le Bureau.
Extraire de l'archive avenger.zip le fichier avenger.exe et le placer sur le Bureau.


Étape 2: Création du fichier aven1.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven1.txt

Code: Tout sélectionner
Begin copying here:

Drivers to disable:
dwazjein

Files to delete:
C:\WINDOWS\system32\dbmsrpcnf.dll
C:\WINDOWS\System32\catsrvf.dll
C:\WINDOWS\system32\4xyn.exe

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 4xyn


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur: flo666.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 3: HijackThis
Via l'Explorateur Windows, ouvrir le dossier SystemDrive\Program Files\Trend Micro\HijackThis
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Lancer HijackThis par un double clic sur HijackThis.exe

Cliquer sur le bouton "Do a system scan only" ou "Scan"
Vérifier que HijackThis fera des sauvegardes: Dans "Config", cocher "Make backups before fixing items", puis cliquer sur le bouton "Back".

Cocher la case située devant la ligne ci-dessous:
(si cette ligne est absente, le signaler en réponse, après la fin de l'ensemble des étapes).

O4 - HKCU\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe

Fermer toutes les fenêtres de programme.
Fermer Internet Explorer.
Cliquer sur Image Fix checked:

Fermer HijackThis.


Étape 4: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus et celui de l'antispyware.
avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"


Étape 5: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven1.txt

Le contenu du fichier aven1.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 6: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 7: Résultats
Générer un nouveau log HijackThis.
Envoyer en réponse:
*- ce nouveau log HijackThis
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]


Dans ta réponse, n'oublie pas de donner le plus d'informations possible sur l'état du PC: amélioration / disparition / aggravation des symptômes d'infection.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede flo666 » 09 Juil 2008, 19:05

Bonjour,

J'ai réalisé les 4 premières étapes.

Je suis bloqué sur la 5ème avec un message d'erreur dans Avenger :

"Error : Could not open RunOnce key to register cleanup.
Aborting execution! (error 0: operation réussie.)"
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 10 Juil 2008, 00:14

Bonsoir,

As-tu désactivé avast! (étape 4) avant d'utiliser The Avenger?


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede flo666 » 10 Juil 2008, 10:02

Bonjour,

Oui je l'avais désactivé.

Je referai un essai demain soir, aujourd'hui je n'aurai pas le temps.

Merci.
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 11 Juil 2008, 18:11

Bonjour,

J'ai relancé aujourd'hui (sans rien toucher d'autre, je n'ai pas refait le fix checked d'hijackthis) et j'ai cette fois l'erreur ci-dessous lors de la tentative d'exécution du script sous Avenger :


"Error : Could not open RunOnce key to register cleanup.
Aborting execution! (error 183: impossible de créer un fichier existant.)"
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 12 Juil 2008, 00:01

Bonsoir,

Création de deux nouveaux logs détaillés:


Étape 1: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre DSS DISCLAIMER, cliquer sur le bouton OK
Dans la fenêtre DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Device Manager
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump
Hosts File

User Profiles
Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 2: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 12 invités

cron