Infectés par le logiciel espion

Greenhorn · #1 8 avril 2008, 18:17

J'ai été contaminé par une sorte de Spyware / Adware, j'ai suivi plusieurs des fils affichés ici qui avait une chose semblable, mais en vain.

Adware: Changé mon bureau à un message disant «menace spyware a été détecté, cliquez ici pour exécuter une analyse complète", aussi il ne cesse de sauter avec une bulle dans le coin en me disant la même étoffe.

J'ai essayé de télécharger et d'exécuter un bouquet de programmes:

SmitFraudFix
Combofix
ATF-Cleaner
CCleaner
SpyBotSearch & Destroy

Mais aucun d'entre eux semblent avoir résolu quelque chose ...

s'il vous plaît aider!

J'ai joint un groupe des journaux les plus récentes.

Vert

**evilfantasy** · #2 8 avril 2008, 22:49

Bienvenue à CJ Greenhorn

Supprimer ces fichiers / dossiers, comme suit:

1. Aller à Démarrer > Courir > Type Notepad.exe et cliquez sur OK pour ouvrir le Bloc-notes.
Il devoir être Bloc-notes, Wordpad pas.

Cliquez sur Démarrer , Puis Courir
Type notepad.exe Dans la zone Exécuter.

2. Copiez le texte ci-dessous dans la case code en mettant en lumière tout le texte et en appuyant sur Ctrl + C

Code:

Killall:: Folder:: C: \ WINDOWS \ FLEOK File:: C: \ WINDOWS \ didduid.ini C: \ WINDOWS \ system32 \ wmsdkns.exe

3. Allez à la fenêtre et cliquez sur Bloc-notes Modifier > Coller
4. Ensuite, cliquez sur Fichier > Sauver
5. Nom du fichier CFScript.txt - Enregistrez le fichier sur votre bureau
6. Ensuite, faites glisser le CFScript (maintenez enfoncé le bouton gauche tout en faisant glisser le fichier) et déposez-le (la libération du bouton gauche de la souris) dans ComboFix.exe comme vous le voyez sur la capture d'écran ci-dessous. Important: Exécutez cette instruction attentivement!

ComboFix va commencer à exécuter, il suffit de suivre les instructions.
Après un redémarrage (dans le cas où il demande de redémarrer l'ordinateur), il va produire un journal pour vous.
Post que log (Combofix.txt) dans votre prochaine réponse.

Note: Ne pas combofix clic de souris, la fenêtre en cours d'exécution. Cette mai cause votre système de gel

----------

HijackThis et sélectionnez Ouvrir Est-ce que seulement un système de balayage.

Placez une coche à côté de l'entrée suivante: (s'il ya)

O2 - BHO: (no name) - (00000250-0320-4dd4-be4f-7566d2314352) - (no file)
O2 - BHO: (no name) - (13197ace-6851-45c3-a7ff-c281324d5489) - (no file)
O2 - BHO: (no name) - (15651c7c-e812-44a2-A9ac-b467a2233e7d) - (no file)
O2 - BHO: (no name) - (4e1075f4-eec4-4a86-add7-cd5f52858c31) - (no file)
O2 - BHO: (no name) - (4E7BD74F-2B8D-469E-92c6-ce7eb590a94d) - (no file)
O2 - BHO: (no name) - (5929cd6e-2062-44A4-b2c5-2c7e78fbab38) - (no file)
O2 - BHO: (no name) - (5dafd089-24B1-4C5E-BD42-8ca72550717b) - (no file)
O2 - BHO: (no name) - (5fa6752a-c4a0-4222-88c2-928ae5ab4966) - (no file)
O2 - BHO: (no name) - (622cc208-B014-4fe0-801B-874a5e5e403a) - (no file)
O2 - BHO: (no name) - (8674aea0-9d3d-11d9-99dc-00600f9a01f1) - (no file)
O2 - BHO: (no name) - (965a592f-8EFA-4250-8630-7960230792f1) - (no file)
O2 - BHO: (no name) - (9c5b2f29-1f46-4639-a6b4-828942301d3e) - (no file)
O2 - BHO: (no name) - (cf021f40-3e14-23a5-cba2-717765728274) - (no file)
O2 - BHO: (no name) - (fc3a74e5-F281-4F10-ae1e-733078684f3c) - (no file)
O2 - BHO: (no name) - (ffff0001-0002-101a-A3C9-08002B2F49FB) - (no file)
O4 - HKCU \ .. \ Run: [SB Audigy 2 Startup Menu] / L: ENG<- Si vous en avez besoin pour exécuter au démarrage, ce qui n'est généralement pas nécessaire.

Important: Fermez toutes les fenêtres sauf pour HijackThis et cliquez sur Fix vérifié.

Sortie du logiciel HijackThis.

----------

S'il vous plaît télécharger ATF Cleaner par Atribune. ATF CLEANER.EXE

Assurez-vous que tous les fenêtres du navigateur sont fermés.

Dans le cadre de la Principal onglet, cochez à côté de Sélectionner tout.
Cliquez sur le Empty Selected bouton. (Note: si vous supprimez les cookies, l'accès automatique à des forums et des sites sera désactivé. Si vous ne voulez pas que cela, décochez Cookies)
Si vous utilisez le Firefox navigateur:
Cliquez sur Firefox au sommet et à mettre un frein à côté de Sélectionner tout.
Si vous souhaitez conserver vos mots de passe, cliquez sur Non à l'invite.
Cliquez sur le Empty Selected bouton. (Note: si vous supprimez les cookies, l'accès automatique à des forums et des sites sera désactivé. Si vous ne voulez pas que cela, décochez Cookies)
Si vous utilisez le Opera navigateur:
Cliquez sur Opera au sommet et à mettre un frein à côté de Sélectionner tout.
Si vous souhaitez conserver vos mots de passe, cliquez sur Non à l'invite.
Cliquez sur le Empty Selected bouton. (Note: si vous supprimez les cookies, l'accès automatique à des forums et des sites sera désactivé. Si vous ne voulez pas que cela, décochez Cookies)

Important: Redémarrez l'ordinateur avant de poursuivre.

----------

Important: Désinstaller la version de Hijackthis que vous avez. c'est la version Beta vieux et nous avons besoin de la nouvelle version ainsi que le renommant en sniper.

D'abord aller ICI et faire ces étapes dans l'ordre.

Troisième étape -- Malwarebytes' Anti-Malware (MBAM)
Quatrième étape -- Mise à jour de Java
Étape Six -- HijackThis

Maintenant, exécutez un nouveau scan HijackThis et après le journal avec les autres.

----------

Next message s'il vous plaît ajouter
Combofix log
Log MBAM
NEW journal HijackThis

Greenhorn · #3 9e avril 2008, 11:51

Hey, merci pour la réponse accueil chaleureux et rapide, également, félicitation à vous pour le conseil!

J'ai suivi vos instructions comme vous l'avez dit, après avoir ajouté le script pour comofix le virus semblent avoir disparu, mais j'ai suivi le reste des étapes de toute façon, optez.

I did i HiJackThis! scan, mais les fichiers que vous m'avez demandé de supprimer ne sont plus là, je suis donc deviner les ComboFix doit de se débarrasser d'eux.

J'ai exécuté un Malware octets aussi bien, et elle a trouvé certains fichiers que j'ai eu le supprimer.

Seems like it's all good maintenant, les popups Pas d'annonces de plus d'informations ou la bulle, j'ai joint les journaux comme demandé. Avait pour compresser 2 d'entre eux parce qu'ils avaient plus la limite de taille de fichier, compressé avec Winrar puis rebaptisé. Zip, hope that's ok.

Merci encore Evilfantasy.

ComboFix 08-04-08.7 - Ashton 2008-04-09 18:21:02.3 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1033.18.682 [GMT 1:00]
Running from: C: \ Documents and Settings \ Ashton \ Desktop \ ComboFix.exe
Commande les commutateurs utilisés:: C: \ Documents and Settings \ Ashton \ Desktop \ CFScript.txt
* Création d'un nouveau point de restauration
* Resident AV est actif

ATTENTION CETTE MACHINE-N'A PAS LA CONSOLE DE RECUPERATION INSTALLED!

FILE::
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ system32 \ wmsdkns.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Program Files \ Assistant 180search
C: \ Program Files \ Assistant 180search \ 180sa.exe
C: \ Program Files \ Assistant 180search \ sau.exe
C: \ Program Files \ 180searchassistant
C: \ Program Files \ 180searchassistant \ saap.exe
C: \ Program Files \ 180searchassistant \ Sac.exe
C: \ Program Files \ 180solutions
C: \ Program Files \ 180solutions \ sais.exe
C: \ Program Files \ seekmo
C: \ Program Files \ seekmo \ seekmohook.dll
C: \ Program Files \ stc
C: \ Program Files \ stc \ csv5p070.exe
C: \ Program Files \ Sysmnt
C: \ Program Files \ Sysmnt \ Ssmgr.exe
C: \ Program Files \ Zango
C: \ Program Files \ Zango \ zango.exe
C: \ WINDOWS \ 180ax.exe
C: \ WINDOWS \ 2020search.dll
C: \ WINDOWS \ 2020search2.dll
C: \ WINDOWS \ bjam.dll
C: \ WINDOWS \ bokja.exe
C: \ WINDOWS \ cdsm32.dll
C: \ WINDOWS \ default.htm
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ FLEOK
C: \ WINDOWS \ FLEOK \ 180ax.exe
C: \ WINDOWS \ mspphe.dll
C: \ WINDOWS \ mssvr.exe
C: \ WINDOWS \ saiemod.dll
C: \ WINDOWS \ salm.exe
C: \ WINDOWS \ stcloader.exe
C: \ WINDOWS \ swin32.dll
C: \ WINDOWS \ system32 \ msixu.dll
C: \ WINDOWS \ system32 \ wer8274.dll
C: \ WINDOWS \ system32 \ wmsdkns.exe
C: \ WINDOWS \ TEMP \ salm.exe
C: \ WINDOWS \ updatetc.exe
C: \ WINDOWS \ voiceip.dll

.
Créée à partir de ((((((((((((((((((((((((( Files 2008-03-09 au 2008-04-09 ))))))))))) ))))))))))))))))))))
.

2008-04-09 08:52. 2008-04-09 08:52 <DIR> d -------- C: \ Program Files \ Sun
2008-04-09 08:36. 2008-04-09 08:36 <DIR> d -------- C: \ Program Files \ Trend Micro
2008-04-09 08:35. 2008-04-09 08:35 <DIR> d -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-04-09 08:35. 2008-04-09 08:35 <DIR> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ Malwarebytes
2008-04-09 08:35. 2008-04-09 08:35 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2008-04-09 08:31. 2008-04-09 08:31 <DIR> d -------- C: \ Program Files \ Fichiers communs \ Authentium
2008-04-09 08:31. 2008-04-09 18:11 53.192 - a ------ C: \ WINDOWS \ system32 \ drivers \ rp_skt32.sys
2008-04-09 08:31. 2007-04-19 11:36 48.384 - a ------ C: \ WINDOWS \ system32 \ drivers \ rp_pkt32.sys
2008-04-09 08:30. 2008-04-09 08:30 <DIR> d -------- C: \ Program Files \ Raxco
2008-04-09 08:30. 2008-04-09 18:07 <DIR> d -------- C: \ Program Files \ Fichiers communs \ Scanner
2008-04-09 08:30. 2008-04-09 08:30 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Raxco
2008-04-09 08:28. 2008-04-09 08:28 <DIR> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ InstallShield
2008-04-09 08:25. 2008-04-09 08:30 <DIR> d -------- C: \ Program Files \ Virgin Broadband
2008-04-09 01:42. 2008-04-09 01:42 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Yahoo! Companion
2008-04-09 01:14. 2008-04-09 01:14 <DIR> d -------- C: \ Program Files \ Yahoo!
2008-04-09 01:13. 2008-04-09 01:15 <DIR> d -------- C: \ Program Files \ CCleaner
2008-04-09 00:43. 2008-04-09 01:52 3.314 - a ------ C: \ WINDOWS \ system32 \ tmp.reg
2008-04-09 00:42. 2007-09-06 00:22 289.144 - a ------ C: \ WINDOWS \ system32 \ VCCLSID.exe
2008-04-09 00:42. 2006-04-27 17:49 288.417 - a ------ C: \ WINDOWS \ system32 \ SrchSTS.exe
2008-04-09 00:42. 2008-03-29 00:19 86.528 - a ------ C: \ WINDOWS \ system32 \ VACFix.exe
2008-04-09 00:42. 2008-04-08 22:44 82.432 - a ------ C: \ WINDOWS \ system32 \ IEDFix.exe
2008-04-09 00:42. 2003-06-05 21:13 53.248 - a ------ C: \ WINDOWS \ system32 \ process.exe
2008-04-09 00:42. 2004-07-31 18:50 51.200 - a ------ C: \ WINDOWS \ system32 \ dumphive.exe
2008-04-09 00:42. 2007-10-04 00:36 25.600 - a ------ C: \ WINDOWS \ system32 \ WS2Fix.exe
2008-04-09 00:01. 2008-04-09 00:01 <DIR> -------- d C: \ Documents and Settings \ All Users \ Application Data \ FLEXnet
2008-04-08 23:57. 2008-04-08 23:57 <DIR> d -------- C: \ Program Files \ Spybot - Search & Destroy
2008-04-08 23:57. 2008-04-09 00:46 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2008-04-08 23:50. 2008-04-08 23:50 <DIR> d -------- C: \ Documents and Settings \ All Users \ Application Data \ ALM
2008-04-08 23:47. 2008-04-08 23:47 <DIR> d -------- C: \ Program Files \ Bonjour
2008-04-08 23:29. 2008-04-08 23:29 <DIR> d -------- C: \ Program Files \ Fichiers communs \ Macrovision Shared
2008-04-08 22:42. 2008-04-08 22:42 <DIR> d -------- C: \ Program Files \ PowerISO
2008-04-07 01:56. 2008-04-07 01:56 1.110 - a ------ C: \ WINDOWS \ mozver.dat
2008-04-01 22:42. 2008-04-01 22:42 <DIR> d - h ----- C: \ Documents and Settings \ All Users \ Application Data \ (0E8E33D8-193A-414A-A909-0F101A142D26)
2008-04-01 22:38. 2008-04-01 22:38 <DIR> d -------- C: \ Program Files \ Stardock Games
2008-03-28 18:39. 2008-03-28 18:39 <DIR> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ dvdcss
2008-03-14 07:04. 2008-03-14 07:04 46.652 - a ------ C: \ WINDOWS \ system32 \ drivers \ scdemu.sys
2008-03-13 23:07. 2008-03-13 23:07 <DIR> d -------- C: \ Program Files \ Fichiers communs \ NSV

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 07:54 --------- d ----- w C: \ Program Files \ Java
2008-04-09 07:30 --------- d ----- w C: \ Program Files \ CA
2008-04-09 07:29 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Virgin Broadband
2008-04-09 07:28 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-04-09 01:58 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ Virgin Broadband
2008-04-08 22:47 --------- d ----- w C: \ Program Files \ Fichiers communs \ Adobe
2008-02-26 20:59 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ ATI
2008-02-26 20:59 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ ATI
2008-02-26 20:50 --------- d ----- w C: \ Program Files \ ATI Technologies
2008-02-26 01:30 --------- d ----- w C: \ Program Files \ Jeux-Masters.com
2008-02-25 09:39 --------- d ----- w C: \ Program Files \ Fichiers communs \ INCA Shared
2008-02-25 09:19 --------- d ----- w C: \ Program Files \ GameTribe
2008-02-24 03:18 --------- d ----- w C: \ Program Files \ Temp.p
2008-02-23 22:31 --------- d ----- w C: \ Program Files \ Fichiers communs \ DirectX
2008-02-23 22:26 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Kontiki
2008-02-23 21:42 --------- d ----- w C: \ Program Files \ OGPlanet
2008-02-22 19:06 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ AdobeUM
2008-02-21 19:33 --------- d ----- w C: \ Program Files \ Three Rings Design
2008-02-20 22:40 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Channel4
2008-02-15 19:17 --------- d ----- w C: \ Program Files \ Winamp
2008-02-15 18:00 --------- d ----- w C: \ Program Files \ Hidden City Games
2008-02-15 16:55 --------- d ----- w C: \ Program Files \ SealOnlineUSA
2008-02-13 21:44 --------- d ----- w C: \ Program Files \ Funcom
2007-12-23 19:41 32 ---- ar C: \ Documents and Settings \ All Users \ hash.dat
2004-02-02 10:31 236.510-c - aw C: \ Documents and Settings \ Ashton \ DIAG.EXE
2004-01-30 18:21 62.480-c - aw C: \ Documents and Settings \ Ashton \ FETODI.COM
2004-01-09 14:28 51.356-c - aw C: \ Documents and Settings \ Ashton \ FETND3.sys
2004-01-09 14:27 53.136-c - aw C: \ Documents and Settings \ Ashton \ FETND4.sys
2004-01-09 14:24 40.960-c - aw C: \ Documents and Settings \ Ashton \ FETND5A.sys
2004-01-09 14:23 42.496-c - aw C: \ Documents and Settings \ Ashton \ FETND5B.sys
2003-11-27 15:01 57.344-c - aw C: \ Documents and Settings \ Ashton \ winsetup.exe
2002-10-09 16:29 147.456-c - aw C: \ Documents and Settings \ Ashton \ NTUTIL.DLL
2002-02-20 11:04 15.552-c - aw C: \ Documents and Settings \ Ashton \ WINNDI.DLL
.

((((((((((((((((((((((((((((( Snapshot @ 2008-04-09_ 1.41.00.14 ))))))))))) ))))))))))))))))))))))))))))))
.
- 2008-04-08 22:11:46 29,696 ---- aw C: \ WINDOWS \ apphelp32.dll
+ 2008-04-09 17:08:03 9.472 ---- aw C: \ WINDOWS \ apphelp32.dll
- 2008-04-08 22:11:46 14,592 ---- aw C: \ WINDOWS \ asferror32.dll
+ 2008-04-09 17:08:03 8.448 ---- aw C: \ WINDOWS \ asferror32.dll
- 2008-04-08 22:11:46 29,952 ---- aw C: \ WINDOWS \ asycfilt32.dll
+ 2008-04-09 17:08:03 12.800 ---- aw C: \ WINDOWS \ asycfilt32.dll
- 2008-04-08 22:11:46 20,480 ---- aw C: \ WINDOWS \ athprxy32.dll
+ 2008-04-09 17:08:03 18.432 ---- aw C: \ WINDOWS \ athprxy32.dll
- 2008-04-08 22:11:46 17,408 ---- aw C: \ WINDOWS \ ati2dvaa32.dll
+ 2008-04-09 17:08:03 16.896 ---- aw C: \ WINDOWS \ ati2dvaa32.dll
- 2008-04-08 22:11:46 10,752 ---- aw C: \ WINDOWS \ ati2dvag32.dll
+ 2008-04-09 17:08:03 20.480 ---- aw C: \ WINDOWS \ ati2dvag32.dll
- 2008-04-08 22:11:46 22,016 ---- aw C: \ WINDOWS \ audiosrv32.dll
+ 2008-04-09 17:08:03 10.496 ---- aw C: \ WINDOWS \ audiosrv32.dll
- 2008-04-08 22:11:47 22,272 ---- aw C: \ WINDOWS \ autodisc32.dll
+ 2008-04-09 17:08:03 30.464 ---- aw C: \ WINDOWS \ autodisc32.dll
- 2008-04-08 22:11:47 12,288 ---- aw C: \ WINDOWS \ avifile32.dll
+ 2008-04-09 17:08:04 25.856 ---- aw C: \ WINDOWS \ avifile32.dll
- 2008-04-08 22:11:47 27,392 ---- aw C: \ WINDOWS \ avisynthex32.dll
+ 2008-04-09 17:08:04 23.296 ---- aw C: \ WINDOWS \ avisynthex32.dll
- 2008-04-08 22:11:47 23,808 ---- aw C: \ WINDOWS \ aviwrap32.dll
+ 2008-04-09 17:08:04 11.776 ---- aw C: \ WINDOWS \ aviwrap32.dll
- 2008-04-08 22:11:47 17,920 ---- aw C: \ WINDOWS \ browserad.dll
+ 2008-04-09 17:08:04 18.944 ---- aw C: \ WINDOWS \ browserad.dll
- 2008-04-08 22:11:45 31,488 ---- aw C: \ WINDOWS \ changeurl_30.dll
+ 2008-04-09 17:08:03 29.696 ---- aw C: \ WINDOWS \ changeurl_30.dll
- 2007-10-10 15:36:22 10.134 ---- ar C: \ WINDOWS \ Installer \ (05BCCF27-DC23-87A2-4ED9-F8D5B244B4C4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:00 10.134 ---- ar C: \ WINDOWS \ Installer \ (05BCCF27-DC23-87A2-4ED9-F8D5B244B4C4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:18 26.582 ---- ar C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
+ 2008-04-09 07:30:56 26.582 ---- ar C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
- 2007-10-10 15:36:46 10.134 ---- ar C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:31 10.134 ---- ar C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 10.134 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:45 10.134 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 25.214 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
+ 2008-04-09 07:31:45 25.214 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
- 2007-10-10 15:36:52 10.134 ---- ar C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:43 10.134 ---- ar C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:59 10.134 ---- ar C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:00 10.134 ---- ar C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:52 10.134 ---- ar C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:02 10.134 ---- ar C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:55 10.134 ---- ar C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:48 10.134 ---- ar C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:36 10.134 ---- ar C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:42 10.134 ---- ar C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 10.134 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:07 10.134 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
+ 2008-04-09 07:30:07 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
- 2007-10-10 15:35:46 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
+ 2008-04-09 07:30:07 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-CAD2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
- 2007-10-10 15:36:49 10.134 ---- ar C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:41 10.134 ---- ar C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:57 10.134 ---- ar C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:47 10.134 ---- ar C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:07 10.134 ---- ar C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:29 10.134 ---- ar C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:11 10.134 ---- ar C: \ WINDOWS \ Installer \ (DD1C392B-226d-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (DD1C392B-226d-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:32 10.134 ---- ar C: \ WINDOWS \ Installer \ (ECBDDBD7-43cc-417C-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:10 10.134 ---- ar C: \ WINDOWS \ Installer \ (ECBDDBD7-43cc-417C-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:09 10.134 ---- ar C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:32 10.134 ---- ar C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:01 10.134 ---- ar C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:53 10.134 ---- ar C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
- 1998-10-29 16:45:06 306.688 ---- aw C: \ WINDOWS \ Isuninst.exe
+ 1998-10-29 15:45:06 306.688 ---- aw C: \ WINDOWS \ Isuninst.exe
- 2008-04-08 22:11:49 14,080 ---- aw C: \ WINDOWS \ msa64chk.dll
+ 2008-04-09 17:08:06 11.776 ---- aw C: \ WINDOWS \ msa64chk.dll
- 2008-04-08 22:11:49 26,368 ---- aw C: \ WINDOWS \ msapasrc.dll
+ 2008-04-09 17:08:06 26.624 ---- aw C: \ WINDOWS \ msapasrc.dll
- 2008-04-08 22:11:48 25,344 ---- aw C: \ WINDOWS \ ntnut.exe
+ 2008-04-09 17:08:05 8.960 ---- aw C: \ WINDOWS \ ntnut.exe
- 2008-04-08 22:11:47 18,432 ---- aw C: \ WINDOWS \ shdocpe.dll
+ 2008-04-09 17:08:05 32.000 ---- aw C: \ WINDOWS \ shdocpe.dll
- 2008-04-08 22:11:48 21,504 ---- aw C: \ WINDOWS \ shdocpl.dll
+ 2008-04-09 17:08:05 27.904 ---- aw C: \ WINDOWS \ shdocpl.dll
- 2007-09-24 22:30:28 135.168 ---- aw C: \ WINDOWS \ system32 \ java.exe
+ 2008-02-22 00:23:35 135.168 ---- aw C: \ WINDOWS \ system32 \ java.exe
- 2007-09-24 22:30:30 135,168 ---- aw C: \ WINDOWS \ system32 \ javaw.exe
+ 2008-02-22 00:23:39 135.168 ---- aw C: \ WINDOWS \ system32 \ javaw.exe
- 2007-09-24 23:31:42 139,264 ---- aw C: \ WINDOWS \ system32 \ javaws.exe
+ 2008-02-22 01:33:32 139.264 ---- aw C: \ WINDOWS \ system32 \ javaws.exe
- 2008-04-08 22:11:50 9,984 ---- aw C: \ WINDOWS \ system32 \ MSNSA32.dll
+ 2008-04-09 17:08:07 14.336 ---- aw C: \ WINDOWS \ system32 \ MSNSA32.dll
- 2008-04-08 22:11:48 31,488 ---- aw C: \ WINDOWS \ system32 \ ntnut32.exe
+ 2008-04-09 17:08:05 28.928 ---- aw C: \ WINDOWS \ system32 \ ntnut32.exe
- 2008-04-08 22:11:48 21,760 ---- aw C: \ WINDOWS \ system32 \ shdocpe.dll
+ 2008-04-09 17:08:05 26.880 ---- aw C: \ WINDOWS \ system32 \ shdocpe.dll
- 2008-04-08 22:11:48 19,712 ---- aw C: \ WINDOWS \ system32 \ SIPSPI32.dll
+ 2008-04-09 17:08:06 30.720 ---- aw C: \ WINDOWS \ system32 \ SIPSPI32.dll
- 2008-04-08 22:11:47 12,800 ---- aw C: \ WINDOWS \ winsb.dll
+ 2008-04-09 17:08:04 18.432 ---- aw C: \ WINDOWS \ winsb.dll
- 2007-10-10 15:35:42 1.233.920 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ msxml4.dll
+ 2008-04-09 07:30:03 1.233.920 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ msxml4.dll
- 2007-10-10 15:35:42 82.432 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
+ 2008-04-09 07:30:03 82.432 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
.
- Snapshot reset à la date du jour --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Note * empty entries & legit entrées par défaut ne sont pas indiquées
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curré ntVersion \ Run]
"Msnmsgr" = "C: \ Program Files \ Messenger \ msnmsgr.exe" [2007-01-19 12:54 5674352]
"SB Audigy 2 Startup Menu" = "/ L: ENG" []
"ctfmon.exe" = "C: \ WINDOWS \ system32 \ ctfmon.exe" [2004-08-04 08:56 15360]

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curré ntVersion \ RunOnce]
"IndexCleaner" = "C: \ Program Files \ Virgin Broadband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"dla" = "C: \ WINDOWS \ system32 \ dla \ IMEName" [2004-03-15 01:04 122933]
"SunJavaUpdateSched" = "C: \ Program Files \ Fichiers communs \ Sonic \ Update Manager \ realsched.exe" [2003-08-19 01:01 110592]
"Winamp Agent" = "C: \ Program Files \ Creative \ SBAudigy2 \ Surround Mixer \ CTSysVol.exe" [2002-10-29 09:18 49152]
"NeroFilterCheck" = "C: \ Program Files \ Creative \ SBAudigy2 \ DVDAudio \ atboottime" [2002-09-30 01:00 45056]
"RTHDCPL" = "RTHDCPL.EXE" [2003-02-20 23:45 28672 C: \ WINDOWS \ system32 \ CTHELPER.EXE]
"AsioReg" = "regsvr32.exe" [2004-08-04 08:56 11776 C: \ WINDOWS \ system32 \ regsvr32.exe]
"Cpqset" = "C: \ WINDOWS \ NeroCheck.exe" [2000-05-11 01:00 90112]
"ATIPTA" = "C: \ Program Files \ ATI Technologies \ ATI Control Panel \ atiptaxx.exe" [2004-05-25 22:35 335872]
"SynTPEnh" = "C: \ Program Files \ BroadJump \ Client Foundation \ autorun" [2003-01-27 17:16 376912]
"SunJavaUpdateSched" = "C: \ Program Files \ Winamp \ winampa.exe" [2008-01-15 23:54 37376]
"StartCCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" [2006-11-10 13:35 90112]
"SoundMan" = "C: \ Program Files \ PowerISO \ QuickTime Task" [2008-03-15 00:50 233472]
"workflow" = "D: \ installs \ workflow.exe" []
"Broadbandadvisor.exe" = "C: \ Program Files \ Virgin Broadband \ Advisor \ Broadbandadvisor.exe" [2007-08-07 18:49 2061552]
"PCguard" = "C: \ Program Files \ Virgin Broadband \ PCguard \ Rps.exe" [2007-09-05 14:10 310000]
"-FreedomNeedsReboot" = "C: \ Program Files \ Virgin Broadband \ PCguard \ ZkRunOnceR.exe" [2007-09-05 14:10 13552]
"SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre1.6.0_05 \ bin \ jusched.exe" [2008-02-22 04:25 144784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ RunOnce]
"IndexCleaner" = "C: \ Program Files \ Virgin Broadband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"CTFMON.EXE" = "C: \ WINDOWS \ System32 \ CTFMON.EXE" [2004-08-04 08:56 15360]

C: \ Documents and Settings \ All Users \ Start Menu \ Programs \ Startup \
DSLMON.lnk - C: \ Program Files \ Adobe \ Acrobat 7.0 \ Reader \ reader_sl.exe [2004-12-14 05:44:06 29696]
Microsoft Office.lnk - C: \ Program Files \ Microsoft Office \ Office \ OSA9.exe [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ drivers32]
"VIDC.X264" = x264vfw.dll
"msacm.ac3acm" = AC3ACM.acm
"msacm.scg726" = scg726.acm
"msacm.alf2cd" = alf2cd.acm
"vidc.dvsd" = mcdvd_32.dll

[HKEY_LOCAL_MACHINE \ software \ microsoft \ shared tools \ msconfig \ startupreg \ DAEMON Tools]
- a ------ 2007-08-29 16:09 171464 C: \ Program Files \ QuickTime \ qttask.exe

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ StandardProfile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ StandardProfile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ msnmsgr.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ livecall.exe" =
"C: \ \ Program Files \ Stardock Games \ \ Sins of a Solar Empire \ \ Sins of a Solar Empire.exe" =
"C: \ \ Program Files \ \ Bonjour \ \ mDNSResponder.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ StandardProfile \ GloballyOpenPorts \ List]
"15808: TCP" = 15808: TCP: BitComet 15808 TCP
"15808: UDP" = 15808: UDP: BitComet 15808 UDP
"3724: TCP" = 3724: TCP: Blizzard Downloader: 3724

S3 iadusb; GlobespanVirata IAD LAN USB Modem; C: \ WINDOWS \ system32 \ drivers \ glauiad.sys [2004-07-02 09:20]
S3 Radialpoint Security Services; Virgin Broadband PCguard C: \ WINDOWS \ system32 \ dllhost.exe [2004-08-04 08:56]
S3 XDva037; XDva037 C: \ WINDOWS \ system32 \ XDva037.sys []

.
Contenu de la "Tâches planifiées" dossier
"2008-04-03 19:15:02 C: \ WINDOWS \ Tasks \ AppleSoftwareUpdate.job"
- C: \ Program Files \ Apple Software Update \ SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1351 W2K/XP/Vista - rootkit / stealth malware detector par Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 18:26:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning processus cachés ...

scanning hidden autostart entries ...

de balayage des fichiers cachés ...

scan effectué avec succès
les fichiers cachés: 0

************************************************** ************************
.
------------------------ Autres processus en cours ----------------------- --
.
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Virgin Broadband \ PCguard \ Fws.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ WINDOWS \ System32 \ CTsvcCDA.exe
C: \ Program Files \ Common Files \ Authentium \ AntiVirus \ dvpapi.exe
C: \ Program Files \ CA \ PPRT \ bin \ ITMRTSVC.exe
C: \ Program Files \ Raxco \ PerfectDisk \ PDAgent.exe
C: \ WINDOWS \ system32 \ PnkBstrA.exe
C: \ Program Files \ Analog Devices \ SoundMAX \ spkrmon.exe
C: \ WINDOWS \ system32 \ wdfmgr.exe
C: \ WINDOWS \ System32 \ MsPMSPSv.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe
C: \ Program Files \ Raxco \ PerfectDisk \ PDEngine.exe
C: \ Program Files \ Virgin Broadband \ Advisor \ BroadbandadvisorComHandler.exe
C: \ Program Files \ Virgin Broadband \ PCguard \ rpsupdaterR.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CCC.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
.
************************************************** ************************
.
Délai de traitement: 2008-04-09 18:31:56 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-04-09 17:31:47
ComboFix2.txt 2008-04-09 00:59:01
ComboFix3.txt 2008-04-09 00:41:25
Pre-Run: 12340674560 octets libres
Post-Run: 12324302848 octets libres
.
2008-03-22 04:20:29 --- EOF ---

**evilfantasy** · #4 9 avril 2008, 12:02

Looks good. Maintenant, exécutez ATF Cleaner de nouveau pour se débarrasser des fichiers malveillants dans les dossiers temp.

Je mets le log Combofix à la poste. Je suis sûr que vous pouvez voir ceci: ATTENTION CETTE MACHINE-N'A PAS LA CONSOLE DE RECUPERATION INSTALLED! Cela est courant et vous pouvez installer la console de récupération, si vous choisissez en suivant les instructions ICI

Temps de faire des nettoyage et de garantir le travail que vous avez fait.

Cliquez sur START puis RUN
Maintenant tapez Combofix / u dans le runbox
Assurez-vous qu'il ya un espace entre Combofix et / u
Puis appuyez sur la touche Entrez.

La procédure ci-dessus à:

Supprimer:
- ComboFix et de ses fichiers et dossiers.
- VundoFix sauvegardes, si présent
- Le C: \ Deckard dossier, si présent
- Le C: _OtMoveIt dossier, si présent
Réinitialiser les paramètres de l'horloge.
Masquer les extensions de fichier, si nécessaire.
Masquer Système / Fichiers cachés, si nécessaire.
Définir un nouveau point de restauration propre.

Télécharger OTMoveIt2 par Oldtimer OTMoveIt2.exe et placez-le sur votre bureau. (sauf si vous avez déjà)

1. Double-cliquez sur OTMoveIt2.exe pour le lancer.
Utilisateurs de Vista, cliquez droit et choisissez Exécuter en tant qu'administrateur
2. Cliquez sur le CleanUp! bouton.
3. OTMoveIt2 télécharge une liste à partir de l'Internet, si votre pare-feu ou d'autres programmes de défense des alertes vous, lui permettre l'accès.
4. Cliquez sur OUI à l'invite suivante (liste téléchargé, Vous voulez commencer processus de nettoyage?)

Lorsque vous avez terminé de sortir de OTMoveIt2

Définir un nouveau point de restauration afin de prévenir une éventuelle réinfection de l'ancienne
Définir un nouveau point de restauration Après le nettoyage de votre système permettra à votre ordinateur pour roll-back de travail propre à un état si nécessaire.

Aller à Démarrer > Programmes > Accessoires > Outils système et cliquez sur Restauration du système
Choisissez le bouton radio Créer un point de restauration Sur le premier écran, puis cliquez sur Suivant Donner le point de restauration un nom puis cliquez sur Créer.
Le nouveau point de restauration sera tamponné avec la date et l'heure. Tenez un journal de cette façon, vous pouvez le trouver facilement si vous avez besoin d'utiliser la restauration du système.
Suivant aller à Démarrer > Courir et le type Cleanmgr
Cliquez sur OK
Cliquez sur le Plus d'options Tab.
Cliquez sur Clean Up dans la section Restauration du système pour supprimer tous les points de restauration à l'exception du nouvellement créé un propre.

Utilisez le Secunia Software Inspector pour vérifier la date du logiciel.
Sur la date du logiciel a des failles de sécurité que peuvent exploiter les logiciels malveillants.

Cliquez sur Start Now
Activez la case à cocher Activer le système d'inspection approfondie.
Cliquez sur Démarrer
Laissez le scan à la fin et faire défiler vers le bas pour voir si des mises à jour sont nécessaires.
Mise à jour de quoi que ce soit la liste.

Check out Garder votre sécurité sur le Web pour des conseils et des outils gratuits pour vous protéger à l'avenir.

Voir aussi Faible ordinateur? Mai il ne pas être Malware gratuit pour le nettoyage / l'entretien des outils pour aider à maintenir votre ordinateur sans heurts.

Faites-moi savoir si quelque chose d'autre arrive.

**evilfantasy** · #5 9 avril 2008, 12:14

Presque oublié, vous avez besoin d'installer quelques ASAP antivirus.

Je recommande Avast. Il est gratuit et fonctionne très bien. Voir ICI Pour plus de détails sur la nouvelle version.