Sujet Précédent Sujet Suivant

Resultat analyse MBAM

Résolu/Fermé
doube metre Messages postés 1 Date d'inscription lundi 22 décembre 2008 Statut Membre Dernière intervention 22 décembre 2008 - 22 déc. 2008 à 19:29
 doube metre - 26 déc. 2008 à 09:13
Bonjour,

Vous trouverez ci-dessous le rapport d'analyse MBAM de mon PC.
Pourriez-vous m'indiquer s'il vous plaît la procédure à suivre afin d'éradiquer les virus de mon PC?

Merci.

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1531
Windows 5.1.2600 Service Pack 1

22/12/2008 19:23:22
mbam-log-2008-12-22 (19-23-12).txt

Type de recherche: Examen complet (C:\|D:\|E:\|H:\|I:\|)
Eléments examinés: 114599
Temps écoulé: 8 hour(s), 29 minute(s), 16 second(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 8
Clé(s) du Registre infectée(s): 16
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 37

Processus mémoire infecté(s):
C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\sysrest32.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\service.exe (Backdoor.Bot) -> No action taken.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\ddcBTMdd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\yomabone.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zedomoje.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vnxfhy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\zedatute.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zudijovu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\vegujila.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\geBstuTK.dll (Trojan.Vundo) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30e54b7b-d2db-4330-abaf-30ae81abb23d} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{30e54b7b-d2db-4330-abaf-30ae81abb23d} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c8a7b7e-75b8-41b8-b834-a47974f0274b} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5c8a7b7e-75b8-41b8-b834-a47974f0274b} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebstutk (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{db405906-0960-44aa-9d43-084235439e1d} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{db405906-0960-44aa-9d43-084235439e1d} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\186504e8 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\worosaroza (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Service (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Windows Service (Backdoor.Bot) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcbtmdd -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vegujila.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vegujila.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\vegujila.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcbtmdd -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\vnxfhy.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ddcBTMdd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ddMTBcdd.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ddMTBcdd.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\geBstuTK.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\wapvclxf.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\fxlcvpaw.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\yomabone.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\enobamoy.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zedomoje.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ejomodez.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zudijovu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\zedatute.dll (Trojan.Vundo.H) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky.dat (Adware.Navipromo.H) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky.exe (Adware.Navipromo.H) -> No action taken.
C:\WINDOWS\system32\vegujila.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\sysrest32.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP000.TMP\pa.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP001.TMP\pa.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP002.TMP\pa.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP003.TMP\pa.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP004.TMP\pa.exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\450BKR0J\CADSYDP3 (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\7YOZFL4X\index[1] (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\D4TPGYK5\reptile[1].exe (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\ULKF6LA5\upd105320[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP197\A0048465.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\dehaseha.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\khfEXonn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rijedatu.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\pmnkJaYR.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vkchfuyd.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\service.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\wvUmjGAs.dll (Trojan.Vundo) -> No action taken.
A voir également:

7 réponses

Réponse 1 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
22 déc. 2008 à 22:54
Bonsoir,


Il y a apparemment deux infections sur ton ordinateur... Le rapport indique "No action taken" : est-ce que tu as tout supprimé avec MBAM après l'apparition de ce rapport ?


Quoi que tu aies fais, ne relance pas MBAM pour l'instant et fais ceci :

• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaitre. Poste le contenu de log.txt

0
doube metre
22 déc. 2008 à 23:48
Bonsoir,

Lorsque je que fais l'analyse avec MBAM, j'ai juste enregistré le rapport que j'ai posté ci-dessus mais je n'ai rien fait.

J'ai suivi tes instructions et voilà les rapports:

tout d'abord le log.txt:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Nicolas at 2008-12-22 23:37:56
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 1 GB (7%) free of 20 GB
Total RAM: 255 MB (10% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:38:53, on 22/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\service.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\sysrest32.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
D:\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Nicolas\Bureau\RSIT.exe
C:\Program Files\trend micro\Nicolas.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: _URLHandler - {86005BD2-D46B-448F-8232-BF29E10BC5A5} - C:\PROGRA~1\MESTIR~1\MYPHOT~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: {d32bba18-ea03-faba-0334-bd2db7b45e03} - {30e54b7b-d2db-4330-abaf-30ae81abb23d} - C:\WINDOWS\System32\vnxfhy.dll
O2 - BHO: (no name) - {5C8A7B7E-75B8-41B8-B834-A47974F0274B} - C:\WINDOWS\System32\ddcBTMdd.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\System32\geBstuTK.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {db405906-0960-44aa-9d43-084235439e1d} - C:\WINDOWS\System32\zedatute.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [Windows Service] service.exe
O4 - HKLM\..\Run: [worosaroza] Rundll32.exe "C:\WINDOWS\System32\zudijovu.dll",s
O4 - HKLM\..\Run: [186504e8] rundll32.exe "C:\WINDOWS\System32\libukifu.dll",b
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [worosaroza] Rundll32.exe "C:\WINDOWS\System32\zudijovu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: vnxfhy.dll,C:\WINDOWS\System32\vegujila.dll
O20 - Winlogon Notify: geBstuTK - C:\WINDOWS\SYSTEM32\geBstuTK.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
0
Réponse 2 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
22 déc. 2008 à 23:58
1) Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

• Puis, ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur une touche pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt : poste le ici stp



2) Relance MBAM, mets le à jour, refais un scan et supprime tout ce qui est détecté
Poste le rapport qui apparait après la suppression


0
doube metre
23 déc. 2008 à 13:46
Bonjour,

j'ai suivi tes instructions et tu trouveras ci-dessous le rapport SDFix.
Après SDFix j'ai supprimé tous les fichiers trouvés par MBAM.
Merci beaucoup pour ton aide mais comment être sûr que tout est nickel maintenant?


[b]SDFix: Version 1.240 [/b]
Run by Administrateur on 23/12/2008 at 09:44

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\geBstuTK.dll - Deleted
C:\WINDOWS\DSC00014.zip - Deleted
C:\WINDOWS\DSC00018.zip - Deleted
C:\WINDOWS\DSC00021.zip - Deleted
C:\WINDOWS\DSC00108.zip - Deleted
C:\WINDOWS\DSC00112.zip - Deleted
C:\WINDOWS\DSC00113.zip - Deleted
C:\WINDOWS\IMG00018.zip - Deleted
C:\WINDOWS\IMG00021.zip - Deleted
C:\WINDOWS\IMG00022.zip - Deleted
C:\WINDOWS\IMG00110.zip - Deleted
C:\WINDOWS\IMG00113.zip - Deleted
C:\WINDOWS\IMG00122.zip - Deleted
C:\WINDOWS\IMG00131.zip - Deleted
C:\WINDOWS\IMG00137.zip - Deleted
C:\WINDOWS\pic0382.zip - Deleted
C:\WINDOWS\PICT00005.zip - Deleted
C:\WINDOWS\PICT00023.zip - Deleted
C:\WINDOWS\PICT00031.zip - Deleted
C:\WINDOWS\PICT00103.zip - Deleted
C:\WINDOWS\PICT00125.zip - Deleted
C:\WINDOWS\admintxt.txt - Deleted
C:\WINDOWS\fxstaller.exe - Deleted
C:\WINDOWS\service.exe - Deleted
C:\WINDOWS\windows32.exe - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-23 10:17:56
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sun 21 Sep 2008 70,656 A.SH. --- "C:\WINDOWS\system32\dehaseha.dll"
Tue 23 Dec 2008 85,052 A.SH. --- "C:\WINDOWS\system32\hafurive.dll"
Sun 21 Sep 2008 63,732 A.SH. --- "C:\WINDOWS\system32\namogizu.dll.tmp"
Sun 21 Sep 2008 63,732 A.SH. --- "C:\WINDOWS\system32\polekove.dll.tmp"
Sun 21 Dec 2008 62,677 A.SH. --- "C:\WINDOWS\system32\rijedatu.dll"
Sun 21 Sep 2008 62,677 A.SH. --- "C:\WINDOWS\system32\vegujila.dll"
Sun 21 Sep 2008 63,732 A.SH. --- "C:\WINDOWS\system32\wevozahe.dll.tmp"
Sun 21 Sep 2008 62,677 A.SH. --- "C:\WINDOWS\system32\zedatute.dll"
Sun 21 Sep 2008 62,677 A.SH. --- "C:\WINDOWS\system32\zudijovu.dll"
Fri 30 Jan 2004 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Mon 22 Dec 2008 1,409 ...H. --- "C:\Documents and Settings\Nicolas\Local Settings\Temp\FORE9.tmp"
Mon 22 Dec 2008 8,872 ...H. --- "C:\Documents and Settings\Nicolas\Local Settings\Temp\ZTRE8.tmp"

[b]Finished![/b]
0
Réponse 3 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
23 déc. 2008 à 19:32
Peux-tu poster le rapport de suppression de MalwareBytes stp ?
Tu le retrouveras dans l'onglet "rapports/logs" de MBAM


Ensuite, redémarre ton ordinateur et poste un nouveau rapport RSIT, je vais te dire si ton PC est complètement désinfecté ou non.

0
doube metre
23 déc. 2008 à 22:04
Bonsoir,

voià le rapport MBAM demandé:

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1535
Windows 5.1.2600 Service Pack 1

23/12/2008 13:36:15
mbam-log-2008-12-23 (13-36-15).txt

Type de recherche: Examen complet (C:\|D:\|E:\|H:\|I:\|)
Eléments examinés: 117224
Temps écoulé: 3 hour(s), 8 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 5
Clé(s) du Registre infectée(s): 11
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 38

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\ddcBTMdd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hafurive.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vnxfhy.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\zudijovu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\vegujila.dll (Trojan.Vundo.H) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{24b5cdb7-de7c-4138-91ba-12593ac488ee} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{24b5cdb7-de7c-4138-91ba-12593ac488ee} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30e54b7b-d2db-4330-abaf-30ae81abb23d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{30e54b7b-d2db-4330-abaf-30ae81abb23d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{db405906-0960-44aa-9d43-084235439e1d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{db405906-0960-44aa-9d43-084235439e1d} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\186504e8 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\worosaroza (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx\Windows Service (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\ddcbtmdd -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: c:\windows\system32\vegujila.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\vegujila.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.Vundo.H) -> Data: system32\vegujila.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\ddcbtmdd -> Delete on reboot.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\ddcBTMdd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ddMTBcdd.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ddMTBcdd.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vnxfhy.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\hafurive.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\evirufah.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wapvclxf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fxlcvpaw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zudijovu.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\zedatute.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Application Data\okocsky.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vegujila.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP000.TMP\pa.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP001.TMP\pa.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP002.TMP\pa.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP003.TMP\pa.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temp\IXP004.TMP\pa.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\450BKR0J\CADSYDP3 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\7YOZFL4X\index[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\95420F1N\iri[1].jpg (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\D4TPGYK5\reptile[1].exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Documents and Settings\Nicolas\Local Settings\Temporary Internet Files\Content.IE5\ULKF6LA5\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP197\A0048465.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0048478.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0048479.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0048543.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0048557.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0048558.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C68AB1C-8184-4DD7-BFE6-92FE15FD4C3C}\RP198\A0049573.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dehaseha.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\khfEXonn.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rijedatu.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vkchfuyd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pmnkJaYR.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wvUmjGAs.dll (Trojan.Vundo) -> Quarantined and deleted successfully.


Je redémarre et te poste le rapport RSIT.

Merci pour ton aide.
0
doube metre > doube metre
23 déc. 2008 à 22:37
Bonsoir,

voilà le rapport RSIT après redémarrage:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Nicolas at 2008-12-23 22:36:12
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 1 GB (7%) free of 20 GB
Total RAM: 255 MB (40% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:36:22, on 23/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\Documents and Settings\Nicolas\Bureau\RSIT.exe
C:\Program Files\trend micro\Nicolas.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: _URLHandler - {86005BD2-D46B-448F-8232-BF29E10BC5A5} - C:\PROGRA~1\MESTIR~1\MYPHOT~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [worosaroza] Rundll32.exe "C:\WINDOWS\System32\zudijovu.dll",s (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - AppInit_DLLs: vnxfhy.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
0
Réponse 4 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
23 déc. 2008 à 23:11
Les deux infections (Vundo et la backdoor) n'ont pas été éradiquées totalement... Tu noteras au passage la quantité de fichiers infectés que ton antivirus a laissé passer...



/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation qui pourraient gêner fortement l'outil...Tu les réactiveras donc après !

Dans ton cas, il s'agit d'Avast (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente »)

==> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------


Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

0
doube metre
23 déc. 2008 à 23:40
Bonsoir,

voilà le rapport de C-Fix.

Merci de me dire ce que je dois faire maintenant:

ComboFix 08-12-23.01 - Nicolas 2008-12-23 23:30:01.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.101 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nicolas\Bureau\C-Fix.exe
* Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-23 au 2008-12-23 ))))))))))))))))))))))))))))))))))))
.

2008-12-23 15:15 . 2008-12-23 15:15 <REP> d-------- c:\documents and settings\All Users\Application Data\NVIDIA
2008-12-23 09:41 . 2008-12-23 09:41 <REP> d-------- c:\windows\ERUNT
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage r‚seau
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-23 09:33 . 2003-07-08 18:04 <REP> d--h----- c:\documents and settings\Administrateur\ModŠles
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-12-23 09:33 . 2003-07-08 18:52 <REP> dr------- c:\documents and settings\Administrateur\Menu D‚marrer
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-23 09:33 . 2008-12-23 09:33 <REP> d-------- c:\documents and settings\Administrateur
2008-12-23 09:29 . 2008-12-23 10:20 <REP> d-------- C:\SDFix
2008-12-22 23:38 . 2008-12-23 22:36 <REP> d-------- c:\program files\trend micro
2008-12-22 23:37 . 2008-12-22 23:52 <REP> d-------- C:\rsit
2008-12-22 21:09 . 2008-12-22 21:09 1,610,020 ---hs---- c:\windows\system32\ufikubil.ini
2008-12-22 12:26 . 2008-12-22 16:25 4,014 --a------ c:\windows\webupdat.exe
2008-12-22 10:06 . 2008-12-22 10:06 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Malwarebytes
2008-12-22 10:05 . 2008-12-22 19:23 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-22 10:05 . 2008-12-22 10:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-22 10:05 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 10:05 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-22 09:15 . 2008-12-22 09:15 <REP> d-------- c:\documents and settings\Nicolas\Application Data\MSN6
2008-12-22 09:15 . 2008-12-22 09:15 <REP> d-------- c:\documents and settings\All Users\Application Data\MSN6
2008-12-22 09:09 . 2008-12-22 09:12 1,610,020 ---hs---- c:\windows\system32\ejomodez.ini
2008-12-21 21:09 . 2008-12-21 21:09 1,610,020 ---hs---- c:\windows\system32\enobamoy.ini
2008-12-21 15:18 . 2008-12-21 15:18 49,152 --a------ C:\plugin.exe
2008-11-29 14:07 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 19:13 --------- d-----w c:\documents and settings\Nicolas\Application Data\AdobeUM
2008-12-10 20:41 --------- d-----w c:\program files\Java
2008-12-10 20:36 --------- d-----w c:\program files\eMule
2008-11-25 19:45 --------- d-----w c:\documents and settings\Nicolas\Application Data\EPSON
2008-11-22 17:44 --------- d-----w c:\documents and settings\Nicolas\Application Data\LimeWire
2008-11-16 15:09 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-16 15:09 --------- d-----w c:\program files\Micro Application
2008-11-16 15:09 --------- d-----w c:\program files\Fichiers communs\Micro Application Shared
2008-11-15 08:23 --------- d-----w c:\program files\Alwil Software
2008-11-10 12:29 --------- d-----w c:\documents and settings\Invité\Application Data\Mozilla
2008-11-10 12:29 --------- d-----w c:\documents and settings\Invité\Application Data\.Mes Tirages
2000-05-12 12:52 122,880 ----a-r c:\windows\inf\AGFA\Message.exe
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"WpsRePsw"="c:\windows\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 32256]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=vnxfhy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.xvid"= xvid.dll
"vidc.div3"= DivXc32.dll
"vidc.div4"= DivXc32f.dll
"VIDC.PIM1"= PCLEPIM1.dll
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ImageFox.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ImageFox.lnk
backup=c:\windows\pss\ImageFox.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Pinnacle Scheduler.lnk
backup=c:\windows\pss\Pinnacle Scheduler.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Nicolas^Menu Démarrer^Programmes^Démarrage^PowerReg Scheduler.exe]
path=c:\documents and settings\Nicolas\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
--a------ 2008-11-26 18:18 81000 c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
--a------ 2007-04-12 07:00 182272 c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2004-02-24 09:20 401491 c:\program files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MesTiragesPhoto]
--a------ 2007-01-25 17:30 2024448 c:\program files\Mes Tirages Photo\TiragesPhoto.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a------ 2006-11-03 10:01 319488 c:\windows\PixArt\Pac207\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 14:08 1511453 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-08-30 10:48 77824 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-04-02 03:20 12288 c:\winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Symantec Core LC"=2 (0x2)
"SPBBCSvc"=2 (0x2)
"SNDSrvc"=2 (0x2)
"SBService"=2 (0x2)
"SAVScan"=3 (0x3)
"NPFMntor"=2 (0x2)
"navapsvc"=3 (0x3)
"Creative Service for CDROM Access"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-11-15 111184]
R2 WpsPeppy;WpsPeppy;c:\windows\System32\DRIVERS\WpsPeppy.SYS [2000-01-27 31968]
R3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\System32\DRIVERS\3xHybrid.sys [2004-12-24 556416]
R3 axsaki;axsaki;c:\windows\System32\DRIVERS\axsaki.sys [2003-03-30 102624]
R3 axskbus;axskbus;c:\windows\System32\DRIVERS\axskbus.sys [2003-03-28 8640]
R3 PAC207;Webcam 1200;c:\windows\System32\DRIVERS\PFC027.SYS [2008-06-21 611584]
R3 pctvvbi;PCTVVBI;c:\windows\System32\DRIVERS\pctvvbi.sys [2004-12-25 6400]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\DRIVERS\sis163u.sys [2006-02-15 215552]
R3 SISNPF;SIS Netgroup Packet Filter;c:\windows\System32\drivers\SISNPF.sys [2005-12-23 31872]
S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
S2 BT848;Maxi TV Video 3 WDM Video Capture;c:\windows\System32\drivers\BT848.SYS [2000-08-11 284684]
S2 BTTUNER;Maxi TV Video 3 WDM TV Tuner;c:\windows\System32\drivers\BTTUNER.SYS [2000-07-18 21412]
S2 BTXBAR;Maxi TV Video 3 WDM Crossbar;c:\windows\System32\drivers\BTXBAR.SYS [2000-07-18 12632]
S2 nvTUNEP;nVidia WDM TVTuner;c:\windows\System32\DRIVERS\nvtunep.sys []
S2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\System32\DRIVERS\nvtvsnd.sys []

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'

2008-12-23 c:\windows\Tasks\kncherfb.job
- c:\windows\system32\rundll32.exe [2001-08-28 13:00]
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-ccApp - c:\program files\Fichiers communs\Symantec Shared\ccApp.exe
MSConfigStartUp-okocsky - c:\documents and settings\nicolas\local settings\application data\okocsky.exe
MSConfigStartUp-SSC_UserPrompt - c:\program files\Fichiers communs\Symantec Shared\Security Center\UsrPrmpt.exe


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\amwskgq8.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin6.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-23 23:31:59
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(676)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(732)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-23 23:34:56
ComboFix-quarantined-files.txt 2008-12-23 22:34:40

Avant-CF: 1ÿ295ÿ810ÿ560 octets libres
AprÞs-CF: 2,265,436,160 octets libres

winxpsp1_fr_pro_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect

217
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
24 déc. 2008 à 00:23
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour doube metre, il n'est pas transposable sur un autre ordinateur !


Toujours avec toutes les protections désactivées, fais ceci :

• Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
• Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
File::
C:\WINDOWS\system32\vnxfhy.dll
C:\WINDOWS\System32\zudijovu.dll
C:\documents and settings\nicolas\local settings\application data\okocsky.exe
C:\windows\system32\ufikubil.ini
C:\windows\Tasks\kncherfb.job
C:\plugin.exe
C:\windows\system32\ejomodez.ini
C:\windows\system32\enobamoy.ini

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"worosaroza"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\okocsky]

------------------------------------------------------------------

• Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
• Quitte le Bloc Notes

• Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif

• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt

0
doube metre
24 déc. 2008 à 08:53
Bonjour,

voilà le compte-rendu de CFScript:

ComboFix 08-12-23.01 - Nicolas 2008-12-24 8:47:20.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.255.99 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nicolas\Bureau\C-Fix.exe
Commutateurs utilisés :: c:\documents and settings\Nicolas\Bureau\CFScript.txt
* Un nouveau point de restauration a été créé

FILE ::
c:\documents and settings\nicolas\local settings\application data\okocsky.exe
C:\plugin.exe
c:\windows\system32\ejomodez.ini
c:\windows\system32\enobamoy.ini
c:\windows\system32\ufikubil.ini
c:\windows\system32\vnxfhy.dll
c:\windows\System32\zudijovu.dll
c:\windows\Tasks\kncherfb.job
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Invit‚\Local Settings\Temporary Internet Files\
C:\plugin.exe
c:\windows\system32\ejomodez.ini
c:\windows\system32\enobamoy.ini
c:\windows\system32\ufikubil.ini
c:\windows\Tasks\kncherfb.job

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
.

2008-12-23 15:15 . 2008-12-23 15:15 <REP> d-------- c:\documents and settings\All Users\Application Data\NVIDIA
2008-12-23 09:41 . 2008-12-23 09:41 <REP> d-------- c:\windows\ERUNT
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression
2008-12-23 09:33 . 2003-07-08 18:04 <REP> d--h----- c:\documents and settings\Administrateur\Modèles
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Mes documents
2008-12-23 09:33 . 2003-07-08 18:52 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Favoris
2008-12-23 09:33 . 2003-07-08 18:52 <REP> d-------- c:\documents and settings\Administrateur\Bureau
2008-12-23 09:33 . 2008-12-23 09:33 <REP> d-------- c:\documents and settings\Administrateur
2008-12-23 09:29 . 2008-12-23 10:20 <REP> d-------- C:\SDFix
2008-12-22 23:38 . 2008-12-23 22:36 <REP> d-------- c:\program files\trend micro
2008-12-22 23:37 . 2008-12-22 23:52 <REP> d-------- C:\rsit
2008-12-22 12:26 . 2008-12-22 16:25 4,014 --a------ c:\windows\webupdat.exe
2008-12-22 10:06 . 2008-12-22 10:06 <REP> d-------- c:\documents and settings\Nicolas\Application Data\Malwarebytes
2008-12-22 10:05 . 2008-12-22 19:23 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-22 10:05 . 2008-12-22 10:05 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-22 10:05 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-22 10:05 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-22 09:15 . 2008-12-22 09:15 <REP> d-------- c:\documents and settings\Nicolas\Application Data\MSN6
2008-12-22 09:15 . 2008-12-22 09:15 <REP> d-------- c:\documents and settings\All Users\Application Data\MSN6
2008-11-29 14:07 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-22 19:13 --------- d-----w c:\documents and settings\Nicolas\Application Data\AdobeUM
2008-12-10 20:41 --------- d-----w c:\program files\Java
2008-12-10 20:36 --------- d-----w c:\program files\eMule
2008-11-25 19:45 --------- d-----w c:\documents and settings\Nicolas\Application Data\EPSON
2008-11-22 17:44 --------- d-----w c:\documents and settings\Nicolas\Application Data\LimeWire
2008-11-16 15:09 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-16 15:09 --------- d-----w c:\program files\Micro Application
2008-11-16 15:09 --------- d-----w c:\program files\Fichiers communs\Micro Application Shared
2008-11-15 08:23 --------- d-----w c:\program files\Alwil Software
2000-05-12 12:52 122,880 ----a-r c:\windows\inf\AGFA\Message.exe
.

((((((((((((((((((((((((((((( snapshot@2008-12-23_23.34.01,53 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-23 21:08:31 4,932 ----a-w c:\windows\system32\spool\drivers\w32x86\2\WpsHrc.BIN
+ 2008-12-24 07:36:11 4,932 ----a-w c:\windows\system32\spool\drivers\w32x86\2\WpsHrc.BIN
+ 2008-12-24 07:35:46 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_428.dat
+ 2008-12-24 07:35:52 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_578.dat
- 2008-12-23 21:08:31 4,932 ----a-w c:\windows\WPS\WpsHrc.BIN
+ 2008-12-24 07:36:11 4,932 ----a-w c:\windows\WPS\WpsHrc.BIN
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]
"msnmsgr"="c:\program files\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 401491]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2006-10-22 86016]
"WpsRePsw"="c:\windows\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 32256]
"Monitor"="c:\windows\PixArt\PAC207\Monitor.exe" [2006-11-03 319488]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-08-29 13312]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Wireless Configuration Utility HW.32.lnk - c:\windows\Installer\{BDC88E5A-F47B-4314-AB38-994592E32C95}\NewShortcut1_BDC88E5AF47B4314AB38994592E32C95.exe [2007-01-10 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"vidc.xvid"= xvid.dll
"vidc.div3"= DivXc32.dll
"vidc.div4"= DivXc32f.dll
"VIDC.PIM1"= PCLEPIM1.dll
"MSACM.CEGSM"= mobilev.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^ImageFox.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\ImageFox.lnk
backup=c:\windows\pss\ImageFox.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^InterVideo WinCinema Manager.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\InterVideo WinCinema Manager.lnk
backup=c:\windows\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Pinnacle Scheduler.lnk
backup=c:\windows\pss\Pinnacle Scheduler.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Nicolas^Menu Démarrer^Programmes^Démarrage^PowerReg Scheduler.exe]
path=c:\documents and settings\Nicolas\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe
backup=c:\windows\pss\PowerReg Scheduler.exeStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
NvQTwk [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
--a------ 2008-11-26 18:18 81000 c:\progra~1\ALWILS~1\Avast4\ashDisp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX8400 Series]
--a------ 2007-04-12 07:00 182272 c:\windows\system32\spool\drivers\w32x86\3\E_FATICEE.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2004-02-24 09:20 401491 c:\program files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MesTiragesPhoto]
--a------ 2007-01-25 17:30 2024448 c:\program files\Mes Tirages Photo\TiragesPhoto.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]
--a------ 2006-11-03 10:01 319488 c:\windows\PixArt\Pac207\Monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2002-08-20 14:08 1511453 c:\program files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:55 5674352 c:\program files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2003-08-30 10:48 77824 c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2003-04-02 03:20 12288 c:\winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 c:\windows\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Symantec Core LC"=2 (0x2)
"SPBBCSvc"=2 (0x2)
"SNDSrvc"=2 (0x2)
"SBService"=2 (0x2)
"SAVScan"=3 (0x3)
"NPFMntor"=2 (0x2)
"navapsvc"=3 (0x3)
"Creative Service for CDROM Access"=2 (0x2)
"ccSetMgr"=2 (0x2)
"ccPwdSvc"=3 (0x3)
"ccEvtMgr"=2 (0x2)
"avast! Web Scanner"=3 (0x3)
"avast! Mail Scanner"=3 (0x3)
"avast! Antivirus"=2 (0x2)
"aswUpdSv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

R1 aswSP;avast! Self Protection;c:\windows\System32\drivers\aswSP.sys [2008-11-15 111184]
R2 WpsPeppy;WpsPeppy;c:\windows\System32\DRIVERS\WpsPeppy.SYS [2000-01-27 31968]
R3 3xHybrid;Pinnacle PCTV Stereo service;c:\windows\System32\DRIVERS\3xHybrid.sys [2004-12-24 556416]
R3 axsaki;axsaki;c:\windows\System32\DRIVERS\axsaki.sys [2003-03-30 102624]
R3 axskbus;axskbus;c:\windows\System32\DRIVERS\axskbus.sys [2003-03-28 8640]
R3 PAC207;Webcam 1200;c:\windows\System32\DRIVERS\PFC027.SYS [2008-06-21 611584]
R3 pctvvbi;PCTVVBI;c:\windows\System32\DRIVERS\pctvvbi.sys [2004-12-25 6400]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\System32\DRIVERS\sis163u.sys [2006-02-15 215552]
R3 SISNPF;SIS Netgroup Packet Filter;c:\windows\System32\drivers\SISNPF.sys [2005-12-23 31872]
S0 NVDual;NVDual;c:\windows\System32\DRIVERS\nvDual.sys []
S2 BT848;Maxi TV Video 3 WDM Video Capture;c:\windows\System32\drivers\BT848.SYS [2000-08-11 284684]
S2 BTTUNER;Maxi TV Video 3 WDM TV Tuner;c:\windows\System32\drivers\BTTUNER.SYS [2000-07-18 21412]
S2 BTXBAR;Maxi TV Video 3 WDM Crossbar;c:\windows\System32\drivers\BTXBAR.SYS [2000-07-18 12632]
S2 nvTUNEP;nVidia WDM TVTuner;c:\windows\System32\DRIVERS\nvtunep.sys []
S2 nvtvSND;nVidia WDM TVAudio Crossbar;c:\windows\System32\DRIVERS\nvtvsnd.sys []
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
uInternet Connection Wizard,ShellNext = iexplore
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
WinCE Filter: image/bmp - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/gif - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/jpeg - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: image/xbm - {86F59FAE-FB3A-11D1-AA72-00C04FAE2D4B} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: text/asp - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll
WinCE Filter: text/html - {6C5C3074-FFAB-11d1-8EC4-00C04F98D57A} - c:\program files\Microsoft ActiveSync\CENetFlt.dll

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\documents and settings\Nicolas\Application Data\Mozilla\Firefox\Profiles\amwskgq8.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\adobe\Acrobat 6.0\Reader\browser\nppdf32.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: d:\quicktime\Plugins\npqtplugin6.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE /color
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-24 08:49:21
Windows 5.1.2600 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(548)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-24 8:50:34
ComboFix-quarantined-files.txt 2008-12-24 07:50:14
ComboFix2.txt 2008-12-23 22:34:57

Avant-CF: 2 239 737 856 octets libres
Après-CF: 2,227,810,304 octets libres

224
0
Réponse 6 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
25 déc. 2008 à 05:31
Re,


Redémarre ton ordinateur et poste un nouveau rapport RSIT (probablement le dernier)

0
doube metre
25 déc. 2008 à 22:00
Bonsoir,

tout d'abord joyeux Noël et voià le log que tu m'as demandé:

Logfile of random's system information tool 1.05 (written by random/random)
Run by Nicolas at 2008-12-25 21:57:34
Microsoft Windows XP Professionnel Service Pack 1
System drive C: has 2 GB (11%) free of 20 GB
Total RAM: 255 MB (17% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:58:33, on 25/12/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
C:\Program Files\TRENDnet\TEW-424UB\Logon.tmp
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TRENDnet\TEW-424UB\TRENDnet.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Documents and Settings\Nicolas\Bureau\RSIT.exe
C:\Program Files\trend micro\Nicolas.exe
C:\Program Files\MSN Messenger\livecall.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: _URLHandler - {86005BD2-D46B-448F-8232-BF29E10BC5A5} - C:\PROGRA~1\MESTIR~1\MYPHOT~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: Créer un Favori de l'appareil mobile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\TRENDnet\TEW-424UB\SiSWLSvc.exe
0
Réponse 7 / 7
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
26 déc. 2008 à 06:12
Très bien, ton ordinateur n'est plus infecté !

Avant de retourner surfer sur internet, il y a quelques petites choses que tu dois faire pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

• Anti-virus :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente.
Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast

Si tu choisis Antivir pour le remplacer, télécharge le ici.

• Pare-feu :
Tu n’as apparemment aucun pare-feu... En gratuit, les plus simples sont Kerio et surtout PC Tools Firewall. Tu peux t'aider des tuto suivants pour utiliser celui que tu choisiras :
- Tutoriel PcTools
- Tutoriel Kerio
Note : si un message comme celui-ci apparaît lors de l'installation, clique sur Continuer.

• Anti-spyware :
Tu n'as apparemment pas d'anti-spyware actif :
* Installe Spyware Blaster : il ne prend pas de mémoire, c'est juste un logiciel qui vaccine ton pc contre certaines infections. Il faut le mettre à jour manuellement, tous les 10 jours environ, et activer toutes les protections (« Enable all protection »)
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille d’installer et d'utiliser le navigateur Firefox 3 avec l’extension « AdBlockPlus ». Tu peux trouver des explications ici

• Windows n'est pas à jour, c'est une grosse faille de sécurité ! Il faut que tu installes le ServicePack2 (SP2) et toutes les mises à jour de sécurité de Windows, sinon ton ordinateur est très vulnérable !
Si ton Windows est à jour : Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si ton Windows n'est pas officiel, je te conseille vivement de t'en acheter une version officielle pour pouvoir le mettre à jour...

• Internet Explorer n'est pas à jour, c'est une faille de sécurité.
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 7 depuis ce lien : IE 7

• Acrobat Reader (ou Adobe Reader) n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.



2) Relance Hijackthis (pour la dernière fois), fais "scan system only" et coche ces lignes (pas dangereuses mains inutiles) :

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Ensuite, clique sur "Fix checked"



3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.



4) Télécharge et installe CCleaner (si ce n’est déjà fait) : https://www.ccleaner.com/ccleaner/download

Lance CCleaner
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour finir le nettoyage, il faut désactiver puis réactiver la restauration système (pour créer un nouveau point de restauration sain et éviter le retour de l'infection).

• Fais un clic droit sur poste de travail (qui est sur ton Bureau ou dans le menu démarrer), puis propriétés.
• Sélectionne l'onglet restauration du système
• Coche l'option Désactiver la restauration du système sur tous les lecteurs
• Clique sur OK.

Puis refais la manipulation inverse pour réactiver la restauration système.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile):
Prévention et sécurité sur internet





Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
0
doube metre
26 déc. 2008 à 09:13
Bonjour,

Merci beaucoup pour ton aide.
Je vais regarder tranquillement tous les conseils que tu m'as donnés.

Bonne fête de fin d'année.
0

Discussions similaires

Google Chrome "  Échec de l'analyse antivirus "
jmpower -
Coco71 -

15 réponses
Récupérer un résultat selon la date d'aujourd'hui
l1607 -
l1607 -

3 réponses
Analyse et réparation du lecteur C
Fusco -
Malekal_morte- -

9 réponses
Obtenir un affichage décimal sur ma Casio fx 92
Anomyme. -
Bruno -

25 réponses
Avoir les résultats du dernier tirage du loto :)
Tutozz -
Tutozz -

9 réponses