[OK]Log HijackThis pour décontamination Win32Pakes-AKM [Trj]

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede flo666 » 20 Juil 2008, 10:02

Le main.txt de Deckard :

Deckard's System Scanner v20071014.68
Run by mel on 2008-07-20 10:57:47
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Performed disk cleanup.



-- HijackThis (run as mel.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:58:09, on 2008-07-20
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\mel\Bureau\dss.exe
C:\PROGRA~1\HIJACK~1\mel.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: (no name) - {E066FB99-2E3B-477A-91AE-80C045A3DB79} - c:\windows\system32\dbmsrpcnf.dll
O2 - BHO: (no name) - {E28B868A-09DA-4234-833C-63982C7166E1} - C:\WINDOWS\System32\catsrvf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 20-20 Shortcut Bar.lnk = C:\Program Files\cuisine\Mswin\60\SCBar.Exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: rzlywkbj - C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6144 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080709-195704-327 O4 - HKCU\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 dwazjein - c:\windows\system32\drivers\czyjfmhd.dat
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.2.0.3) - c:\windows\system32\drivers\aegisp.sys <Not>
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not>
R2 KeyP - c:\windows\system32\drivers\keyp.sys <Not>
R3 AR5211 (NETGEAR WPN311 V1H3 Wireless Adapter Service) - c:\windows\system32\drivers\wpn311.sys <Not>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not>

S3 alcan5ln (SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS)) - c:\windows\system32\drivers\alcan5ln.sys <Not>
S3 catchme - c:\docume~1\mel\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur de bus USB
Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Manufacturer:
Name: Contrôleur de bus USB
PNP Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Carte Fast Ethernet compatible VIA
Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Manufacturer: VIA Technologies, Inc.
Name: Carte Fast Ethernet compatible VIA
PNP Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Service: FETNDIS

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Miniport de pont MAC
Device ID: ROOT\MS_BRIDGEMP\0000
Manufacturer: Microsoft
Name: Miniport de pont MAC
PNP Device ID: ROOT\MS_BRIDGEMP\0000
Service: BridgeMP


-- Process Modules -------------------------------------------------------------

C:\WINDOWS\system32\winlogon.exe (pid 540)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 760)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 784)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>
2002-05-23 09:34:28 310272 --a------ C:\WINDOWS\system32\winhttp.dll <Not>

C:\WINDOWS\explorer.exe (pid 1208)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>
2003-05-15 14:43:24 119808 --a------ C:\Program Files\WinRAR\RarExt.dll
2006-09-12 12:10:00 53248 --a------ C:\Program Files\UltraEdit-32\ue32ctmn.dll <Not>


-- Files created between 2008-06-20 and 2008-07-20 -----------------------------

2008-07-20 10:06:57 0 d-------- C:\Documents and Settings\mel\Application Data\Malwarebytes
2008-07-20 10:06:49 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-20 10:06:48 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-17 13:05:38 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2008-07-16 21:01:02 0 dr-h----- C:\Documents and Settings\mel\Recent
2008-07-09 20:02:30 61440 --a------ C:\WINDOWS\System32\drivers\ixqx.sys
2008-07-07 23:44:50 0 d-------- C:\Program Files\Navilog1
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage réseau
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage d'impression
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\SendTo
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Recent
2008-07-06 11:28:21 237568 --ah----- C:\Documents and Settings\Administrateur.MEL.000\NTUSER.DAT
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Modèles
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Mes documents
2008-07-06 11:28:21 0 dr------- C:\Documents and Settings\Administrateur.MEL.000\Menu Démarrer
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Local Settings
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Favoris
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Cookies
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Bureau
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\Application Data
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Application Data\Microsoft
2008-07-06 11:28:11 0 d--hs---- C:\WINDOWS\CSC
2008-07-06 11:11:54 0 d-------- C:\VundoFix Backups
2008-07-06 11:03:51 0 d-------- C:\Program Files\CCleaner
2008-07-06 09:35:50 0 d-------- C:\KILLTROJANs <KILLTR>
2008-07-03 20:07:30 0 d-------- C:\Program Files\Audacity


-- Find3M Report ---------------------------------------------------------------

2008-07-19 15:58:16 0 d-------- C:\Program Files\eMule
2008-07-16 21:03:05 3154 --a------ C:\WINDOWS\System32\tmp.reg
2008-07-15 18:26:12 101632 --a------ C:\WINDOWS\System32\catsrvf.dll
2008-07-09 20:02:30 1298 --a------ C:\Program Files\mvtf.txt
2008-07-06 14:08:42 0 d-------- C:\Program Files\Java
2008-07-06 11:24:32 0 d-------- C:\Program Files\Yahoo!
2008-07-06 11:24:00 0 d-------- C:\Program Files\Fichiers communs
2008-07-06 11:23:53 0 d-------- C:\Program Files\SUPERAntiSpyware
2008-07-06 11:22:51 0 d-------- C:\Program Files\Panda Security
2008-06-16 19:09:01 4861 --a----c- C:\WINDOWS\mozver.dat
2008-06-10 23:07:16 0 d-------- C:\Program Files\IKEA HomePlanner
2008-06-10 23:05:36 0 d-------- C:\Program Files\Cuisine Astuce
2008-05-25 15:58:38 0 d-------- C:\Program Files\Avant Browser


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-01-13 14:05]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28]
"msnappau"="C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe" [2004-07-22 22:53]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-12-20 21:54]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-02 22:49]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-05-03 10:40]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-15 22:52]
"CloneCDTray"="C:\Program Files\CloneCD\CloneCDTray.exe" [2004-09-02 23:57]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [2006-11-01 02:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj]
dbmsrpcnf.dll 2001-08-28 14:00 83968 C:\WINDOWS\system32\dbmsrpcnf.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-BP]
"C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
kyrreyam




-- End of Deckard's System Scanner: finished at 2008-07-20 10:59:04 ------------
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 20 Juil 2008, 10:04

Et le extra.txt de Deckard :

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- Application Event Log -------------------------------------------------------

Event Record #/Type3853 / Error
Event Submitted/Written: 07/18/2008 10:56:50 PM
Event ID/Source: 1015 / Perflib
Event Description:
Le délai d'exécution de la fonction "PerfOS" de collecte de données de
performance dans la bibliothèque "C:\WINDOWS\System32\perfos.dll" a expiré. Il y a peut-être un
problème pour ce compteur extensible ou le service dont il tire ses
informations, ou le système était peut-être très occupé au moment où
l'appel a été tenté.

Event Record #/Type3847 / Error
Event Submitted/Written: 07/17/2008 00:16:31 PM
Event ID/Source: 1015 / Perflib
Event Description:
Le délai d'exécution de la fonction "PerfOS" de collecte de données de
performance dans la bibliothèque "C:\WINDOWS\System32\perfos.dll" a expiré. Il y a peut-être un
problème pour ce compteur extensible ou le service dont il tire ses
informations, ou le système était peut-être très occupé au moment où
l'appel a été tenté.

Event Record #/Type3844 / Error
Event Submitted/Written: 07/16/2008 10:36:02 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Application bloquée iexplore.exe, version 6.0.2600.0, module bloqué mshtml.dll, version 6.0.2737.800, adresse de blocage 0x00037b65.

Event Record #/Type3837 / Error
Event Submitted/Written: 07/15/2008 06:16:35 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante wlancfg5.exe, version 1.2.14.306, module défaillant wcapi.dll, version 4.1.0.161, adresse de défaillance 0x0000dd60.

Event Record #/Type3817 / Error
Event Submitted/Written: 07/11/2008 06:47:47 PM
Event ID/Source: 1000 / Application Error
Event Description:
Application défaillante wlancfg5.exe, version 1.2.14.306, module défaillant wcapi.dll, version 4.1.0.161, adresse de défaillance 0x0000dd60.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type44053 / Error
Event Submitted/Written: 07/20/2008 10:29:49 AM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193

Event Record #/Type44026 / Error
Event Submitted/Written: 07/20/2008 09:50:08 AM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193

Event Record #/Type43997 / Error
Event Submitted/Written: 07/19/2008 03:41:58 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193

Event Record #/Type43968 / Error
Event Submitted/Written: 07/19/2008 10:38:02 AM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193

Event Record #/Type43941 / Error
Event Submitted/Written: 07/19/2008 10:21:53 AM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193



-- End of Deckard's System Scanner: finished at 2008-07-20 10:59:04 ------------


-> J'ai eu à nouveau le "System Message" après ce nettoyage, cette fois-ci avec une ouverture d'ie vers
http://fr.antispywareexpert.com/2009/4/?cmpname=av31&gai=swhbis&gli=2822&gff=pp_9048288&ed=2&ex=5&eu=http%3A%2F%2Fadvancedcleaner.com%2F.cleaner%2Findex.php%3Ftmn%3Dadctmp%26clone_name%3Dswpadcex%26ida%3Dswhbis_exx51%26led%3D2822%26afr%3Dpp_9048288&mt_info=3793_0_22980:3788_941_20642&rdr=2&a=swhbis&l=2822&f=pp_9048288&mt_info=3793_0_22980:3788_941_20642

Edition: désactivation du lien!
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 21 Juil 2008, 00:42

Bonsoir,

Très bizarre!
Tous les éléments supprimés précédemment sont revenus!
Exemple: le pilote dwazjein a été supprimé avec succès le 14/07, et il est de nouveau présent dans le log.




Peux-tu recommencer la manip ci-dessus après avoir fait redémarrer le PC en mode sans échec:


Étape 1: Mode sans échec
Faire redémarrer le PC en mode sans échec en utilisant la méthode F8 (F5 sur certains PCs).
Voir http://assiste.com.free.fr/p/comment/co ... echec.html
Fermer le plus possible de fenêtres.
Pas de connexion Internet ouverte, pas d'Internet Explorer ouvert.


Étape 2: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes. Fermer Internet Explorer.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 3: Redémarrage
Faire redémarrer le PC en mode normal.


Étape 4: Deckard's System Scanner (DSS) (de Deckard)
Note: Le PC doit être en mode normal.
Démarrer---->Exécuter---->taper exactement
"%userprofile%\Bureau\dss.exe"¤/config
(le caractère ¤ représente un espace)
puis cliquer sur OK

Dans la fenêtre DSS DISCLAIMER, cliquer sur le bouton OK
Dans la fenêtre DSS Configuration, cocher les cases suivantes:

Temp Cleanup
HijackThis (Ignored Fixed)
File Associations
Drivers
Services
Device Manager
Process modules
Scheduled Tasks
Files Created/Modified
Registry Dump

Event Logs

Whitelist Output
Check File Signatures

puis cliquer sur le bouton Scan

Cliquer sur OK lorsque cela est demandé (de 1 à 3 fois).
Lorsque l'outil a terminé le balayage, une ou deux fenêtres du Bloc-notes vont s'ouvrir, affichant le(s) rapport(s):
main.txt <- ouvert dans une fenêtre plein-écran
extra.txt <- ouvert dans une fenêtre réduite (ce fichier n'est pas créé à chaque fois)
Fermer cette (ces deux) fenêtre(s) du Bloc-notes.


Étape 5: Résultats
Envoyer en réponse:
*- le log de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-*-**-**** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<ton>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs / *-**-**** (**-**-**) représente la date [mois-jour-année] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Envoyer ensuite en réponse dans deux messages distincts (à cause de la longueur des logs):
*- les rapports de Deckard's System Scanner (contenu des fichiers main.txt et extra.txt situés dans le dossier SystemDrive\Deckard\System Scanner).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede flo666 » 21 Juil 2008, 22:18

Bonsoir !

Voilà le log de Malware obtenu :

Malwarebytes' Anti-Malware 1.21
Version de la base de données: 969
Windows 5.1.2600

23:09:44 2008-07-21
mbam-log-7-21-2008 (23-09-44).txt

Type de recherche: Examen rapide
Eléments examinés: 42962
Temps écoulé: 8 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e066fb99-2e3b-477a-91ae-80c045a3db79} (Trojan.BHO) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{e066fb99-2e3b-477a-91ae-80c045a3db79} (Trojan.BHO) -> Delete on reboot.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\dbmsrpcnf.dll (Trojan.BHO) -> Delete on reboot.
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 21 Juil 2008, 22:18

Le main.txt de Deckard :

Deckard's System Scanner v20071014.68
Run by mel on 2008-07-21 23:15:56
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Performed disk cleanup.



-- HijackThis (run as mel.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:18, on 2008-07-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Documents and Settings\mel\Bureau\dss.exe
C:\PROGRA~1\HIJACK~1\mel.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\System32\BhoECart.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O2 - BHO: (no name) - {E066FB99-2E3B-477A-91AE-80C045A3DB79} - c:\windows\system32\dbmsrpcnf.dll
O2 - BHO: (no name) - {E28B868A-09DA-4234-833C-63982C7166E1} - C:\WINDOWS\System32\catsrvf.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: 20-20 Shortcut Bar.lnk = C:\Program Files\cuisine\Mswin\60\SCBar.Exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NETGEAR WPN311 Smart Wizard.lnk = C:\Program Files\NETGEAR\WPN311\wlancfg5.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://webscanner.kaspersky.fr/kavwebscan_unicode.cab
O20 - Winlogon Notify: rzlywkbj - C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6201 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080709-195704-327 O4 - HKCU\..\Run: [4xyn] C:\WINDOWS\system32\4xyn.exe

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 dwazjein - c:\windows\system32\drivers\czyjfmhd.dat
R2 AegisP (AEGIS Protocol (IEEE 802.1x) v3.2.0.3) - c:\windows\system32\drivers\aegisp.sys <Not>
R2 ElbyCDIO (ElbyCDIO Driver) - c:\windows\system32\drivers\elbycdio.sys <Not>
R2 KeyP - c:\windows\system32\drivers\keyp.sys <Not>
R3 AR5211 (NETGEAR WPN311 V1H3 Wireless Adapter Service) - c:\windows\system32\drivers\wpn311.sys <Not>
R3 ElbyCDFL - c:\windows\system32\drivers\elbycdfl.sys <Not>

S3 alcan5ln (SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS)) - c:\windows\system32\drivers\alcan5ln.sys <Not>
S3 catchme - c:\docume~1\mel\locals~1\temp\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 ACS (Atheros Configuration Service) - c:\windows\system32\acs.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Contrôleur de bus USB
Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Manufacturer:
Name: Contrôleur de bus USB
PNP Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_80A11043&REV_82\3&61AAA01&0&83
Service:

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Carte Fast Ethernet compatible VIA
Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Manufacturer: VIA Technologies, Inc.
Name: Carte Fast Ethernet compatible VIA
PNP Device ID: PCI\VEN_1106&DEV_3065&SUBSYS_80A11043&REV_74\3&61AAA01&0&90
Service: FETNDIS

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Miniport de pont MAC
Device ID: ROOT\MS_BRIDGEMP\0000
Manufacturer: Microsoft
Name: Miniport de pont MAC
PNP Device ID: ROOT\MS_BRIDGEMP\0000
Service: BridgeMP


-- Process Modules -------------------------------------------------------------

C:\WINDOWS\system32\winlogon.exe (pid 536)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 752)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>

C:\WINDOWS\system32\svchost.exe (pid 776)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>
2002-05-23 09:34:28 310272 --a------ C:\WINDOWS\system32\winhttp.dll <Not>

C:\WINDOWS\explorer.exe (pid 1092)
2002-11-06 20:00:38 40820 --a------ C:\WINDOWS\system32\Syncor11.dll <Not>
2003-05-15 14:43:24 119808 --a------ C:\Program Files\WinRAR\RarExt.dll
2006-09-12 12:10:00 53248 --a------ C:\Program Files\UltraEdit-32\ue32ctmn.dll <Not>


-- Files created between 2008-06-21 and 2008-07-21 -----------------------------

2008-07-20 10:06:57 0 d-------- C:\Documents and Settings\mel\Application Data\Malwarebytes
2008-07-20 10:06:49 0 d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-20 10:06:48 0 d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-17 13:05:38 0 d-------- C:\WINDOWS\System32\Kaspersky Lab
2008-07-16 21:01:02 0 dr-h----- C:\Documents and Settings\mel\Recent
2008-07-09 20:02:30 61440 --a------ C:\WINDOWS\System32\drivers\ixqx.sys
2008-07-07 23:44:50 0 d-------- C:\Program Files\Navilog1
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage réseau
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Voisinage d'impression
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\SendTo
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Recent
2008-07-06 11:28:21 237568 --ah----- C:\Documents and Settings\Administrateur.MEL.000\NTUSER.DAT
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Modèles
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Mes documents
2008-07-06 11:28:21 0 dr------- C:\Documents and Settings\Administrateur.MEL.000\Menu Démarrer
2008-07-06 11:28:21 0 d--h----- C:\Documents and Settings\Administrateur.MEL.000\Local Settings
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Favoris
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Cookies
2008-07-06 11:28:21 0 d-------- C:\Documents and Settings\Administrateur.MEL.000\Bureau
2008-07-06 11:28:21 0 dr-h----- C:\Documents and Settings\Administrateur.MEL.000\Application Data
2008-07-06 11:28:21 0 d---s---- C:\Documents and Settings\Administrateur.MEL.000\Application Data\Microsoft
2008-07-06 11:28:11 0 d--hs---- C:\WINDOWS\CSC
2008-07-06 11:11:54 0 d-------- C:\VundoFix Backups
2008-07-06 11:03:51 0 d-------- C:\Program Files\CCleaner
2008-07-06 09:35:50 0 d-------- C:\KILLTROJANs <KILLTR>
2008-07-03 20:07:30 0 d-------- C:\Program Files\Audacity


-- Find3M Report ---------------------------------------------------------------

2008-07-20 21:42:15 0 d-------- C:\Program Files\eMule
2008-07-16 21:03:05 3154 --a------ C:\WINDOWS\System32\tmp.reg
2008-07-15 18:26:12 101632 --a------ C:\WINDOWS\System32\catsrvf.dll
2008-07-09 20:02:30 1298 --a------ C:\Program Files\mvtf.txt
2008-07-06 14:08:42 0 d-------- C:\Program Files\Java
2008-07-06 11:24:32 0 d-------- C:\Program Files\Yahoo!
2008-07-06 11:24:00 0 d-------- C:\Program Files\Fichiers communs
2008-07-06 11:23:53 0 d-------- C:\Program Files\SUPERAntiSpyware
2008-07-06 11:22:51 0 d-------- C:\Program Files\Panda Security
2008-06-16 19:09:01 4861 --a----c- C:\WINDOWS\mozver.dat
2008-06-10 23:07:16 0 d-------- C:\Program Files\IKEA HomePlanner
2008-06-10 23:05:36 0 d-------- C:\Program Files\Cuisine Astuce
2008-05-25 15:58:38 0 d-------- C:\Program Files\Avant Browser


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19]
"RoxioEngineUtility"="C:\Program Files\Fichiers communs\Roxio Shared\System\EngUtil.exe" [2003-01-13 14:05]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28]
"msnappau"="C:\Program Files\MSN Apps\Updater\01.02.0002.1001\fr\msnappau.exe" [2004-07-22 22:53]
"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2005-12-20 21:54]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-02-02 22:49]
"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-05-03 10:40]
"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-07-15 22:52]
"CloneCDTray"="C:\Program Files\CloneCD\CloneCDTray.exe" [2004-09-02 23:57]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Program Files\Google\Gmail Notifier\gnotify.exe" [2005-07-15 23:48]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BitTorrent"="C:\Program Files\BitTorrent\bittorrent.exe" [2006-11-01 02:34]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj]
dbmsrpcnf.dll 2001-08-28 14:00 83968 C:\WINDOWS\system32\dbmsrpcnf.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eCarteBleue-BP]
"C:\Program Files\e-Carte Bleue\Banque Populaire\ECB-BP.exe" /dontopenmycards

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
kyrreyam




-- End of Deckard's System Scanner: finished at 2008-07-21 23:17:14 ------------
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 21 Juil 2008, 22:19

Et le extra.txt de Deckard :

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- Application Event Log -------------------------------------------------------

Event Record #/Type3876 / Warning
Event Submitted/Written: 07/21/2008 11:10:06 PM
Event ID/Source: 1524 / Userenv
Event Description:
Windows ne peut pas décharger vos classes fichier de Registre - il est en cours d'utilisation par d'autres applications ou services. Le fichier sera déchargé quand il ne sera plus utilisé.

Event Record #/Type3875 / Error
Event Submitted/Written: 07/21/2008 10:59:48 PM
Event ID/Source: 8193 / VSS
Event Description:
Erreur du service de cliché instantané des volumes : erreur lors de l'appel de la routine CoCreateInstance. hr = 0x80040206.

Event Record #/Type3874 / Error
Event Submitted/Written: 07/21/2008 10:59:47 PM
Event ID/Source: 4609 / EventSystem
Event Description:
Le système d'événements de COM+ a détecté un code de renvoi erroné lors de son traitement interne. Le HRESULT est 8007043C à partir de la ligne 44 de d:\nt_qxp\com\com1x\src\events\tier1\eventsystemobj.cpp. Contactez les services du Support Technique Microsoft pour signaler cette erreur.

Event Record #/Type3872 / Error
Event Submitted/Written: 07/21/2008 10:20:28 PM
Event ID/Source: 28 / WinMgmt
Event Description:
WinMgmt n'a pas pu initialiser les parties centrales. Ceci peut être dû à une version mal installée de WinMgmt, à une erreur de mise à niveau du référentiel WinMgmt, à un manque de place sur disque ou à un manque de mémoire.

Event Record #/Type3853 / Error
Event Submitted/Written: 07/18/2008 10:56:50 PM
Event ID/Source: 1015 / Perflib
Event Description:
Le délai d'exécution de la fonction "PerfOS" de collecte de données de
performance dans la bibliothèque "C:\WINDOWS\System32\perfos.dll" a expiré. Il y a peut-être un
problème pour ce compteur extensible ou le service dont il tire ses
informations, ou le système était peut-être très occupé au moment où
l'appel a été tenté.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type44159 / Error
Event Submitted/Written: 07/21/2008 11:12:44 PM
Event ID/Source: 7023 / Service Control Manager
Event Description:
Le service AGP Bus ka4e0 Controller s'est arrêté avec l'erreur :
%%193

Event Record #/Type44154 / Error
Event Submitted/Written: 07/21/2008 11:10:04 PM
Event ID/Source: 10005 / DCOM
Event Description:
DCOM a reçu l'erreur "%%1084" lors de la mise en route du service EventSystem avec les arguments ""
pour démarrer le serveur :
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type44153 / Error
Event Submitted/Written: 07/21/2008 11:01:16 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Le pilote de démarrage système ou d'amorçage suivant n'a pas pu se charger :
Aavmker4
aswSP
aswTdi
Fips
IPSec
MRxSmb
NetBIOS
NetBT
Processor
RasAcd
Rdbss
Tcpip
vsdatant

Event Record #/Type44152 / Error
Event Submitted/Written: 07/21/2008 11:01:16 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service TrueVector Internet Monitor dépend du service vsdatant qui n'a pas pu démarrer en raison de l'erreur :
%%31

Event Record #/Type44151 / Error
Event Submitted/Written: 07/21/2008 11:01:16 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Le service Services IPSEC dépend du service Pilote IPSEC qui n'a pas pu démarrer en raison de l'erreur :
%%31



-- End of Deckard's System Scanner: finished at 2008-07-21 23:17:14 ------------
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede nickW » 24 Juil 2008, 23:59

Bonsoir,

As-tu réellement utilsé Malwarebytes' Anti-Malware en mode sans échec?


Lorsque tu utilises les différents outils, le PC redémarre-t-il automatiquement?


Lorsque le PC redémarre, utilise-t-il la "Dernière bonne configuration connue"?


Nouvelle procédure:

Au vu de la longueur de la procédure, je te conseille de l'imprimer, d'enregistrer la page dans un fichier HTML (c'est la meilleure solution), ou d'en sélectionner toutes les lignes puis de copier cette sélection dans un fichier texte sur ton PC (Note: tu n'auras pas accès à Internet et il y aura des redémarrages).
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).


Étape 1: Correction de trois associations de fichier
Depuis la page: http://www.dougknox.com/xp/file_assoc.htm
télécharger les trois fichiers archives

CPL File Association Fix (Restore the default associations for CPL files)
Lien direct: http://www.dougknox.com/xp/fileassoc/xp ... _assoc.zip

REG File Association Fix (Restore default associations for REG files)
Lien direct: http://www.dougknox.com/xp/fileassoc/xp_regfile.zip

SCR File Association Fix (Restore default associations for SCR files)
Lien direct: http://www.dougknox.com/xp/fileassoc/xp_scr_fix.zip

Décompresser ces trois archives sur le Bureau.
Pour chacun des trois fichiers extraits (cpl_file_assoc.reg, xp_regfile.reg et xp_scr_fix.reg), faire un clic droit sur le fichier, dans le menu contextuel choisir Fusionner et accepter la fusion dans le Registre.


Étape 2: Malwarebytes' Anti-Malware, mise à jour
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.


Étape 3: Création du fichier aven3.txt
Ouvrir une înstance du Bloc-notes: Démarrer---->Exécuter, taper notepad puis cliquer sur OK.
Faire un copier/coller des lignes ci-dessous (dans la zone blanche située sous "Code:") dans la fenêtre du Bloc-notes qui vient d'être ouverte.
Dans le Bloc-notes, vérifier (dans le menu Format) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sur le Bureau sous le nom de aven3.txt

Code: Tout sélectionner
Begin copying here:

Drivers to disable:
dwazjein

Files to replace with dummy:
C:\WINDOWS\System32\catsrvf.dll
C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll
c:\windows\system32\drivers\czyjfmhd.dat

Registry keys to replace with dummy:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj

Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}


Note: Les lignes de la zone Code ci-dessus ont été créées exclusivement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, il ne faut pas les utiliser: elles pourraient endommager votre système.



Étape 4: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus.


Étape 5: The Avenger (de Swandog46), exécution
Fermer toutes les fenêtres de programme (il va y avoir redémarrage du PC).
Lancer The Avenger en cliquant sur son icône située sur le Bureau.
Cliquer sur OK sur le message d'avertissement.
Cliquer sur l'icône Image représentant un dossier jaune.

Il y a ouverture d'une nouvelle fenêtre "Open script file"
Dans cette fenêtre, naviguer jusqu'au Bureau et sélectionner (double clic) le fichier aven3.txt

Le contenu du fichier aven3.txt doit s'afficher dans la zone blanche (sous "Input script here:").

Ensuite cliquer sur le bouton Image "Execute" pour lancer l'exécution du script.

Cliquer sur "Oui" deux fois quand demandé (fenêtres "Confirm execution" et "First step completed").
Il va y avoir un ou deux redémarrages (avec une brève apparition d'une fenêtre de commande à fond noir).
En fin d'exécution, le rapport s'affichera dans le Bloc-notes.
Fermer le Bloc-notes.


Étape 6: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 7: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus.


Étape 8: OTScanIt (de OldTimer), création d'un rapport (log)
Fermer toutes les fenêtres de programme ouvertes.
Désactiver le module résident en temps réel de l'antivirus jusqu'à la fin de cette étape.
Dans l'Explorateur, ouvrir le dossier OTScanIt qui a été créé sur le Bureau.
Faire un double clic sur OTScanIt.exe pour lancer l'outil:

Image

L'écran principal de OTScanIt s'affiche:

Dans le paragraphe Drivers, cocher le bouton-radio Non-Microsoft
Dans le paragraphe Rootkit Search, cocher le bouton-radio Yes

Dans le paragraphe Additional Scans, cocher les cases situées devant:
Reg - BotCheck
Reg - File Associations
Reg - Safeboot Options
File - Additional Folder Scans
Evnt - EventViewer Errors/Warnings (last 7 days)

Image

Cocher (en haut) la case située devant Scan All Users

Puis cliquer sur le bouton Run Scan.
Laisser l'outil travailler, sans rien faire d'autre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant le rapport.
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée.
Fermer la fenêtre de OTScanIt.


Étape 9: Résultats
Envoyer en réponse:
*- le rapport de The Avenger (contenu du fichier SystemDrive\avenger.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
*- le log de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-*-**-**** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs / *-**-**** (**-**-**) représente la date [mois-jour-année] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Ensuite, déposer sur un serveur externe le rapport de OTScanIt:
Méthode:
*- Aller sur: http://www.yousendit.com/
(Javascript doit être activé)
*- Dans les zones To et From, saisir n'importe quoi avec un @ dedans (Exemples: abc@def.com et abcdef@def.com) et décocher la case située devant "Remember my email"
*- Sous Select a file, cliquer sur le bouton "Parcourir..." et aller jusqu'au fichier OTScanIt.Txt situé dans le dossier OTScanIt
*- Cliquer sur le bouton vert "Send It"
*- Il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "Here is the link for the file you uploaded:")
Envoyer ce lien en réponse.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede flo666 » 12 Aoû 2008, 13:38

nickW a écrit:Bonsoir,

As-tu réellement utilsé Malwarebytes' Anti-Malware en mode sans échec?


Lorsque tu utilises les différents outils, le PC redémarre-t-il automatiquement?


Lorsque le PC redémarre, utilise-t-il la "Dernière bonne configuration connue"?


Bonjour,

Oui j'avais utilisé Malwarebytes en mode sans échec, le PC avait redémarré automatiquement et je pense qu'il utilise la "dernière bonne configuration connue" (même si je ne sais pas trop comment le vérifier).

Voici le nouveau rapport d'avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "dwazjein" disabled successfully.
File "C:\WINDOWS\System32\catsrvf.dll" replaced with dummy successfully.
File "C:\WINDOWS\SYSTEM32\dbmsrpcnf.dll" replaced with dummy successfully.
File "c:\windows\system32\drivers\czyjfmhd.dat" replaced with dummy successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rzlywkbj" replaced with dummy successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E066FB99-2E3B-477A-91AE-80C045A3DB79}" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E28B868A-09DA-4234-833C-63982C7166E1}" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 12 Aoû 2008, 13:41

Le log de Malwarebytes :

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1043
Windows 5.1.2600

14:31:30 2008-08-12
mbam-log-8-12-2008 (14-31-30).txt

Type de recherche: Examen rapide
Eléments examinés: 44733
Temps écoulé: 6 minute(s), 10 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

Messagede flo666 » 12 Aoû 2008, 13:43

Et voilà le lien vers le rapport d'OTScanIT :

http://www.yousendit.com/download/Q01HT214bEF6RTgwTVE9PQ

Merci !
flo666
 
Messages: 31
Inscription: 07 Juil 2008, 22:56

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 11 invités